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内 容 简 介 
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安全 测试 等 内 容 。 此 外 ， 本 书 还 提供 了 相应 的 示例 、 代 码 ， 以 帮助 读者 进一步 理解 相关 方案 的 实现 过 程 。 
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译 者 序 


2009 年 ， 世 界 上 第 一 部 Android 手机 诞生 并 搭载 了 Android 系统 。Android 系统 是 一 
个 多 用 户 、 多 任务 、 开 源 的 操作 系统 ,这 极 大 地 激发 了 开发 者 对 基于 Android 系统 应 用 的 
创新 实践 能 力 ， 同 时 ， 开 源 也 带 来 了 一 些 安全 方面 的 问题 。 

本 书 结合 实际 操作 的 例子 、 图 表 和 日 常 使 用 情况 ， 深 入 研究 从 内 核 级 到 应 用 程序 级 
的 Android 安全 ， 并 向 读者 展示 如 何 保护 Android 应 用 程序 和 数据 安全 。 通 过 本 书 ， 作 者 
向 读者 展示 了 Android 堆 的 整体 安全 架构 ,利用 权限 、 安 全 加 密 等 方法 保护 应 用 程序 组 件 ， 
让 读者 和 开发 者 在 今后 的 应 用 程序 开发 中 ， 加 强 安全 意识 ， 保 护 应 用 程序 和 数据 安全 。 

本 书 是 一 本 较为 全 面 的 介绍 从 内 核 级 到 应 用 程序 级 ,从 Android 安全 模型 、 应 用 程序 
构建 权限、 定义 应 用 程序 策略 文件 到 保护 用 户 隐 私 、 加 密 算法 等 方面 Android 安全 的 书 。 
读者 在 开发 和 编写 应 用 程序 时 ， 可 将 本 书 作为 参考 。 

本 书 的 翻译 由 秦 双 夏 组 织 完成 ， 参 与 本 书 翻译 的 还 有 罗平 章 、 李 远 明 、 吴 骅 、 杨 莉 
灵 、 王 学 昌 、 周 娟 、 刘 红军 、 王 玲 、 郑 正 正 、 英 鸿 强 等 ， 感 谢 这 些 同行 。 由 于 水 平 有 限 ， 
译文 中 的 不 当 之 处 在 所 难免 ， 垦 请 同行 及 各 位 读者 朋友 不 音 赐教 。 
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20 世纪 世纪 90 年 代 初 ,作者 刚 开始 在 GO 公司 工作 时 ， 当 时 最 先进 的 移动 计算 机 是 
一 个 8 磅 重 、 尺 寸 如 剪贴 板 大 小 的 设备 ， 它 的 电池 寿命 极 短 ， 可 以 配备 9600 波 特 的 调制 
解 调 器 。 不 过 ， 驱 动 这 种 设备 的 设想 如 今 可 以 在 最 新 安 卓 和 iOS 设备 上 很 轻易 地 被 实现 : 
即 期 望 拥有 一 种 综合 的 、 以 任务 为 中 心 的 无 颖 对 接 的 计算 平台 。 而 在 当时 ， 我 们 认为 这 
一 设想 将 是 拥有 “从 沙滩 给 某 个 人 发 送 传真 ”的 能 力 。 后 来 ， 在 AOL 开发 AIM 过 程 当 
中 《即时 通信 客户 端 服 务 ， 作 为 iPhone App Store 2008 年 首发 软件 之 一 ) ， 这 一 设想 已 
逐渐 成 为 了 现实 。 但 即便 在 那个 时 候 〈 也 就 在 几 年 前 ) ， 我 们 当时 也 不 可 能 预测 到 这 些 
设备 和 其 催生 的 应 用 程序 生态 系统 会 对 我 们 的 日 常生 活 产生 何等 巨大 的 影响 。 

如 今 ， 移 动 设备 无 处 不 在 。 它 们 为 我 们 提供 娱乐 ， 帮 助 我 们 打发 闲暇 时 光 ， 当然 ， 
也 帮助 我 们 保持 联系 (通过 收发 传真 保持 联系 也 许 不 常用 ) 。 由 Google 推出 的 Android 
操作 系统 是 这 一 革新 背后 的 推动 力 之 一 ， 这 一 操作 系统 已 被 数 以 百 计 的 设备 供应 商 所 采 
用 ， 并 安装 在 全 球 近 十 亿 的 设备 上 。 但 是 ， 随 着 这 些 移动 设备 遍及 我 们 生活 的 方方面面 ， 
保持 设备 和 其 用 户 的 安全 就 变 得 至 关 重 要 。 这 正 是 本 书 如 此 重要 的 所 在 。 

相 比 移动 设备 ， 病 毒 、 木 马 和 恶意 软件 可 能 还 是 更 流行 于 桌面 平台 环境 。 但 手机 市 
场 的 增长 意味 着 恶意 软件 的 大 幅 上 涨 , 反 病毒 厂商 Kaspersky 报告 每 个 月 检测 到 数 以 千 计 
的 新 程序 。 今 天 的 智能 手机 和 平板 电脑 对 于 潜在 的 攻击 者 而 言 ， 等 同 于 一 个 不 可 抗拒 的 
蜜 缸 ， 个 人 信息 、 财 务 数据 、 密 码 和 社交 图 谱 ， 甚 至 是 最 新 的 位 置 定位 数据 ， 对 于 消费 
者 而 言 这 些 设 备 的 一 切 宝贵 之 处 也 成 为 恶作剧 和 数据 窃贼 的 诱 人 目标 。 作 为 开发 人 员 ， 
管理 好 用 户 信 息 是 应 有 的 责任 。 Android 系统 的 开放 性 和 集成 性 意味 着 我 们 每 个 人 要 各 尽 
其 责 以 确保 应 用 程序 和 服务 的 安全 ， 这 一 点 尤为 重要 。 

安全 不 能 只 当 作 可 有 可 无 的 选项 ， 或 进行 事后 弥补 。 它 必须 成 为 程序 设计 的 一 部 分 ， 
始终 贯穿 应 用 程序 的 执行 过 程 。 我 相信 本 书 作者 Pragati Ogal Rai 必定 深 说 此 理 ， 因 为 她 
从 操作 系统 和 应 用 程序 开发 者 两 个 角度 解决 过 安全 问题 ， 所 以 正 是 撰写 此 书 的 不 二 人 选 。 
她 能 总 览 Android 系统 全 局 〈 从 设备 到 内 核 ， 再 到 应 用 程序 ) ， 并 提出 清晰 可 行 的 操作 步 
又 ， 供 开发 人 员 依循 ， 以 保护 应 用 程序 和 数据 的 安全 。 同 时 ， 作 者 亦 提 供 源 代 码 作为 使 
用 的 示例 ， 以 及 测试 其 有 效 性 的 方法 。 此 外 ， 作 者 并 不 局 限于 比特 和 字 节 的 基础 层面 ， 
进一步 探索 能 平衡 开发 者 使 用 个 人 信息 和 用 户 保护 个 人 信息 两 种 愿望 的 安全 策略 和 最 佳 
做 法 。 
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功能 强大 的 移动 设备 与 无 处 不 在 的 社交 媒体 相 结 合 ， 具 有 传输 、 存 储 和 消费 大 量 数 
据 的 能 力 ， 在 论 及 手机 安全 性 时 这 给 每 个 人 增加 了 风险 。 但 是 ， 安 全 就 像 我 们 所 呼吸 的 
空气 ， 直 到 它 消失 我 们 才 会 真正 去 考虑 并 重视 这 一 问题 ， 而 到 那 时 往往 为 时 已 晚 ， 来 不 
及 保护 我 们 的 用 户 ,来 不 及 保护 开发 者 的 声誉 和 业务 。 因 此 ， 对 于 每 一 位 Android 开发 者 


而 言 ， 了 解 在 这 复杂 多 变 的 境况 下 保护 用 


户 安全 所 扮演 的 角色 是 极其 重要 的 。 


作为 开发 人 员 和 用 户 ， 我 很 感激 本 书 作者 Pragati 耗费 时 间 写 出 一 本 如 此 全 面 而 翔实 
的 指导 书籍 帮助 我 们 通行 于 网 络 空 间 中 ,我 很 希望 她 的 经 验 教训 能 使 各 地 的 Android 开发 
者 们 提供 我 们 所 渴望 的 迷人 创新 的 应 用 程序 ， 同 时 维护 保障 我 们 期 待 并 应 得 的 安全 和 


信任 。 
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前 言 


在 当今 这 个 精 于 技术 的 时 代 ， 人 们 的 生活 日 益 数字 化 。 所 有 这 些 信息 都 可 以 使 用 移 
动 设备 随时 随地 访问 ， 有 成 千 上 万 的 应 用 程序 供用 户 下 载 和 使 用 。 使 用 移动 设备 上 的 应 
用 程序 可 以 轻松 地 访问 大 量 信息 ， 其 最 大 的 挑战 是 保护 用 户 的 私人 信息 和 尊重 他 们 的 
隐私 。 

一 台 Android 手机 诞生 于 2009 年 ， 在 这 之 后 移动 生态 圈 发 生 了 变化 。Android 平 
台 是 一 类 开放 性 和 较 少 限制 的 应 用 程序 模型 ， 在 开发 者 社区 引起 了 兴奋 并 培养 了 创新 实 
践 能 力 。 但是， 正如 每 个 硬币 有 正 反 两 面 一 样 ，Android 平台 的 开放 性 也 不 例外 。Android 
平台 刺激 了 所 谓 的 破坏 者 的 想象 力 。 Android 为 他 们 提供 了 完美 的 测试 平台 试验 他 们 的 想 
法 。 不 管 是 作为 开发 者 还 是 消费 者 , 懂得 Android 的 安全 模型 ， 以 及 如 何 明智 地 使 用 它 来 
保护 消费 者 是 非常 重要 的 。 

本 书 结合 实际 操作 的 例子 、 图 表 和 日 常 使 用 情况 ， 深 入 研究 从 内 核 级 到 应 用 程序 级 
的 Android 安全 。 向 读者 展示 如 何 保 护 Android 应 用 程序 及 数据 的 安全 。 在 开发 应 用 程序 
时 ， 它 会 作为 技巧 和 提示 以 馈赠 读者 。 

读者 将 会 学 习 Android 堆 的 整体 安全 架构 。 使 用 权限 、 在 清单 文件 中 定义 安全 性 、 安 
全 加 密 算法 等 方法 来 保护 组 件 ，Android 堆 协议 、 安 全 存储 、 安 全 测试 和 保护 设备 上 的 企 
业 数 据 也 会 详细 介绍 。 读 者 也 将 学 习 在 整合 新 的 技术 和 使 用 类 似 NFC 和 移动 支付 到 
Android 应 用 程序 上 时 ， 如 何 变 得 有 安全 意识 。 


第 1 章 ，Android 安全 模型 一 一 整体 ， 主 要 讲述 Android 堆 的 整体 安全 ， 从 平台 安全 
到 应 用 程序 安全 的 方方面面 。 本 章 将 是 学 习 后 续 章 节 的 基础 。 

第 2 章 ， 应 用 程序 构建 块 ， 介 绍 应 用 程序 组 件 、 权 限 、 清 单 文件 以 及 从 安全 角度 着 
手 的 应 用 程序 签名 等 内 容 。 这 些 Android 应 用 程序 的 基本 组 件 和 关于 这 些 组 件 的 知识 对 于 
构建 Android 安全 知识 很 重要 。 

第 3 章 , 权限 ,讨论 Android 平台 的 既 有 权限 、 如 何 定义 新 的 权限 、 如 何 使 用 权限 保 
护 应 用 程序 组 件 安全 以 及 在 定义 新 的 权限 时 给 予 分 析 。 

第 4 章 ， 定 义 应 用 程序 的 策略 文件 ， 深 入 剖析 作为 应 用 程序 策略 文件 的 清单 文件 的 
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机 制 。 讨 论 加 强 策略 文件 的 提示 和 技巧 。 

第 5 章 ， 尊 重 您 的 用 户 ， 包 含 了 妥善 处 理 用 户 数据 的 最 佳 实例 。 这 对 于 依赖 于 用 户 
评论 和 用 户 关注 度 的 开发 者 的 声誉 来 说 是 重要 的 。 开 发 者 也 应 谨慎 处 理 用 户 的 私人 信息 ， 
以 免 落 入 法 律 的 陷阱 。 

第 6 章 ， 您 的 工具 一 一 加 密 API， 讨 论 Android 平台 提供 的 加 密 功 能 。 它 包括 对 称 加 
密 、 非 对 称 加 密 、 散 列 、 加 密 模式 和 密 钥 管 理 。 

第 7 章 ， 应 用 程序 数据 安全 ， 是 关于 所 有 在 休眠 和 传输 过 程 中 的 应 用 程序 数据 的 安 
全 存储 。 讨 论 如 何 利用 应 用 程序 将 私有 数据 沙 箱 化 ， 如 何 安 全 地 存储 数据 到 设备 、 外 部 
存储 卡 、 硬 盘 和 数据 库 中 。 

第 8 章 ，Android 在 企业 的 运用 ， 讨 论 Android 平台 提供 的 设备 安全 构件 以 及 它 对 应 
用 程序 开发 者 的 意义 。 企 业 应 用 程序 开发 者 对 于 本 章 将 会 特别 感 兴趣 。 

第 9 章 ， 安 全 测试 ， 专 注 于 以 设计 和 开发 为 安全 重点 的 测试 用 例 。 

第 10 章 ， 展 望 未 来 ， 讨 论 即将 到 来 的 移动 领域 的 用 例 ， 以 及 它 是 如 何 影响 Android 
的 ， 特 别 是 从 安全 的 角度 。 


阅读 本 书 所 需 基 础 


如 果 您 有 一 个 已 搭建 好 的 Android 环境 并 且 可 以 实际 操作 在 本 书 中 讨论 的 概念 和 例 
子 ， 那 么 本 书 将 会 非常 有 价值 。 请 访问 developer.android.com 获得 关于 搭建 环境 和 开始 
Android 开发 的 详细 说 明 。 如 果 读 者 对 内 核 开 发 感 兴 趣 ， 请 访问 source.android.com。 

在 撰写 本 书 的 时 候 ，Jelly Bean (Android 4.2，API level 17) 是 最 新 的 版 本 。 笔 者 已 
经 在 这 个 平台 上 测试 了 所 有 的 代码 。 自 从 2009 年 第 一 个 版 本 Cupcake 发 布 以 来 ，Google 
公司 一 直 在 不 断 提 高 后 续 版 本 的 安全 性 。 例如， 在 Android 2.2 (API level 8) 中 加 入 了 远 
程 擦 除 和 设备 管理 API， 这 使 得 Android 更 加 吸引 商业 界 。 每 当 有 相关 信息 时 ， 笔 者 会 引 
用 该 版 本 支持 的 特定 功能 。 


本 书 适 合 的 读者 


本 书 对 喜欢 移动 安全 的 人 来 说 是 一 份 优秀 的 资源 。 开 发 者 、 测 试 工程 师 、 工 程 经 理 、 
产品 经 理 和 架构 师 ， 在 设计 和 编写 他 们 的 应 用 程序 时 可 以 本 书 为 参考 。 高 级 管理 员 和 技 
术 员 可 利用 本 书 拓宽 在 移动 安全 领域 的 视野 。 拥 有 一 些 Android 堆栈 开发 知识 是 可 取 的 ， 
但 不 是 必需 的 。 


zt 
池 


体例 


在 本 书 中 ， 将 会 发 现 一 系列 用 来 区 分 不 同 信息 的 文本 风格 。 以 下 是 这 些 风格 的 一 些 
例子 和 关于 它们 含义 的 说 明 。 

文本 表示 如 下 : “使 用 PackageManager 类 处 理 安 装 和 外 载 应 用 程序 的 任务 ”。 
代码 块 设置 如 下 : 
<intent-filter> 

<action android:name="android.intent.action.MAIN" /> 

<category android:name="android.intent .category.LAUNCHER" /> 
</intent-filter> 
当 希 望 读 者 注意 特殊 代码 段 时 ， 相 关 的 行 或 者 条 目 会 被 设置 成 粗 体 : 


Intent intent = new Intent("my-local-broadcast"); 
Intent.putExtra("message", "Hello World!"); 
LocalBroadcastManager .getInstance (this) .sendBroadcast (intent); 


命令 行 输入 或 输出 写成 如 下 格式 : 
dexdump -d -f -h data@app@com.example.examplel-1.apk@classes .dex > dump 


新 术语 和 关键 词 以 粗 体 显示 。 例 如 ， 读 者 在 屏幕 、 菜 单 或 对 话 框 看 到 的 字体 ， 将 会 
像 这 段 文字 一 样 出 现 : “ 单 击 下 一 步 按钮 切换 到 下 一 页 ”。 


注意 : 以 此 格式 在 对 话 框 中 显示 警告 或 重要 的 消息 
提示 : 以 此 格式 显示 提示 和 技巧 信息 
读者 反馈 

我 们 一 直 欢 迎 读者 反馈 。 让 我 们 知道 读者 对 本 书 的 观点 一 一 喜欢 的 或 者 不 喜欢 的 。 
读者 反馈 信息 对 于 我 们 改进 内 容 是 十 分 重要 的 。 

提交 给 我 们 的 一 般 反 馈 ， 只 需 发 送 电子 邮件 到 feedback@packtpub.com， 并 注 明 反馈 
信息 对 应 的 书 名 。 


您 如 果 有 专业 知识 的 话题 ,并 有 兴趣 撰写 或 者 促成 一 本 书 ,那么 可 以 在 www.packtpub. 
com/authors 查阅 作者 指南 信息 。 


用 户 支 持 
现在 ， 您 已 经 是 Packt 图 书 的 用 户 ， 我 们 有 许多 的 方式 可 以 帮助 您 满足 您 的 需求 。 
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虽然 我 们 已 经 尽力 确保 本 书 内 容 的 准确 ， 但 是 错误 难免 会 有 。 如 果 您 发 现 我 们 书 中 
的 错误 (文本 错误 或 代码 错误 ) 并 将 错误 反馈 给 我 们 ， 我 们 将 不 胜 感激 。 这 样 ， 您 可 以 
避免 让 其 他 读者 阅读 到 这 个 错误 并 帮助 我 们 改进 本 书 的 后 续 版 本 。 如 果 您 发 现 了 任何 勘 
误 内 容 ， 请 访问 http:/www.packtpub.com/submit-errata 网 站 ， 选 择 书 名 ， 单 击 errata 
submission form， 然 后 输入 具体 勘误 内 容 反 馈 给 我 们 。 一 旦 通过 验证 ， 您 的 勘误 内 容 将 被 
采纳 并 上 传 到 我 们 的 网 站 ， 或 者 根据 主题 添加 到 现 有 勘误 表 的 列表 中 。 任 何 现 有 的 勘误 
表 都 可 以 访问 http://www.packtpub.com/support 网 站 ， 选 择 主题 查看 。 


版 权 声明 


互联 网 上 充斥 着 版 权 材 料 的 盗版 ， 所 有 媒体 对 此 问题 的 报道 一 直 没 有 间断 过 。 在 
Packt 公司 ， 我 们 严格 保护 版 权 和 许可 。 如 果 发 现 我 们 著作 在 互联 网 上 的 任何 形式 的 非法 
副本 ， 请 立即 向 我 们 提供 地 址 或 者 网 站 名 称 ， 让 我 们 能 够 采取 补救 措施 。 

请 通过 copyright@packtpub.com 网 站 与 我 们 联系 有 关 疑 似 盗版 物 的 链接 。 

我 们 感谢 您 对 保护 作者 ， 以 及 对 我 们 提升 为 您 带 来 更 有 价值 内 容 的 能 力 的 帮助 。 


问题 


如 果 对 本 书 有 任何 疑问 , 您 可 以 通过 questions@packtpub.com 网 站 联系 我 们 , 我 们 将 
会 竭力 解决 您 的 问题 。 
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第 1 章 Android 安全 模型 一 一 整体 


Android 堆 在 很 多 方面 是 不 同 的 ， 它 是 开源 的 、 比 一 些 其 他 平台 更 高 级 ， 并 从 过 去 移 
动 平台 开发 的 尝试 当中 吸收 学 习 。 在 第 1 章 中 将 会 介绍 从 内 核 级 到 应 用 程序 级 的 Android 
安全 模型 的 基础 内 容 。 在 本 章 中 所 介绍 的 每 个 安全 工具 都 会 在 后 续 章 节 中 更 加 详细 地 进 
行 讨论 。 

作为 本 章 的 开始 , 首先 会 从 解释 “为 何 安装 时 应 用 程序 权限 的 评估 对 于 Android 平台 
和 用 户 数据 安全 来 说 是 不 可 或 缺 的 ”这 一 话题 开始 。Android 有 一 个 分 层 架 构 ， 每 个 架构 
层 的 安全 评估 都 会 在 本 章 中 讨论 。 在 本 章 的 最 后 ， 将 会 讨论 核心 安全 工具 ， 如 应 用 程序 
签名 、 确 保 设备 数据 存储 安全 、 加 密 API 和 Android 设备 管理 等 内 容 。 


1.1 谨慎 安装 


区 分 Android 不 同 于 其 他 移动 操作 系统 的 要 素 之 一 就 是 对 于 安装 时 应 用 程序 权限 的 
审查 。 应 用 程序 需要 的 所 有 权限 必须 在 应 用 程序 清单 文件 manifest file》 中 进行 声明 。 
这 些 权限 是 应 用 程序 正常 运行 所 需要 的 功能 。 例 如 包括 访问 用 户 通讯 录 、 从 手机 发 送 短 
信 、 挨 打 电话 和 访问 Intemet。 关 于 权限 的 详细 。。 om 


叙述 请 参阅 第 3 章 相 关内 容 。 

当 用 户 安装 应 用 程序 时 ， 在 清单 文件 中 声 
明 的 所 有 权限 都 会 呈现 给 用 户 。 用 户 有 权 去 审 
查 这 些 权限 并 做 出 是 否 安装 该 应 用 程序 的 明智 
决定 。 此 时 用 户 应 该 认真 查看 这 些 权限 ， 因 为 
这 是 用 户 被 请 求 赋予 权限 的 唯一 时 机 。 在 这 之 
后 ， 用 户 将 不 能 控制 应 用 程序 权限 。 用 户 能 做 
的 最 多 就 是 卸载 该 应 用 程序 。 请 参考 图 1-1。 在 
这 个 例子 当中 ， 应 用 程序 将 会 跟踪 或 访问 用 户 
位 置信 息 、 使 用 网 络 、 读 取 用 户 通讯 录 、 读 取 
手机 状态 以 及 使 用 一 些 开发 功能 。 当 得 查 应 用 
程序 的 安全 性 时 ， 用 户 必须 评估 授予 该 应 用 程 


Allow this application to access; 


A Your location 
coarse (network-based) location, fine 
(GPS)location 


A Network communication 
full Internet access 


A Your personal information 
read contact data 


A Development tools 
send Linux signals to applications 


A Phone calls 


read phone state and identity 


LHide 
图 1-1 
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序 某 个 特定 权限 是 否 必需 。 如 果 是 游戏 应 用 程序 ， 它 应 该 不 需要 开发 工具 功能 ， 如 果 是 
儿童 教育 应 用 程序 ， 它 应 该 不 需要 访问 通讯 录 或 用 户 位 置信 息 。 另 外 要 留意 的 是 开发 者 
可 能 会 添加 他 们 自己 的 权限 ， 特 别 是 如 果 他 们 希望 与 他 们 已 经 开发 完成 并 可 能 被 安装 到 
设备 上 的 其 他 应 用 程序 进行 通信 的 时 候 。 提供 这 些 权限 的 明确 说 明 是 开发 者 的 职责 所 在 。 

在 安装 时 ， 该 架构 确保 在 应 用 程序 中 使 用 的 所 有 权限 都 在 清单 文件 中 声明 。 在 运行 
时 操作 系统 强制 执行 这 些 权限 。 


1.2 Android 平台 架构 


Android 是 一 个 具有 层级 式 软件 堆 的 现代 操作 系统 。 图 1-2 说 明了 Android 软件 堆 的 
层级 。Android 软件 堆 可 以 在 不 同 的 硬件 配置 上 运行 ， 例 如 智能 手机 、 平 板 电脑 、 电 视 ， 
甚至 是 嵌入 式 设备 ， 如 微波 炉 、 冰 箱 、 手 表 和 钢笔 等 。 每 一 层 都 提供 相应 的 安全 性 ， 这 
为 移动 应 用 程序 的 创建 和 运行 建立 一 个 安全 的 环境 。 本 节 将 会 讨论 Android 堆 的 每 一 层 所 
提供 的 安全 性 。 


Binder 0PC) 
Driver 


Power 
Management 


1.2.1 Linux 内 核 


位 于 硬件 设备 之 上 的 就 是 Linux 内 核 。 Linux 内 核 已 经 作为 一 个 安全 的 多 用 户 操作 系 
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让 名 六 


为 Android 安全 的 基础 。 可 以 将 Android 看 作 是 这 


统 使 用 了 几 十 年 
是 一 个 应 


照相 机 、Wi-Fi 
Procedure Calls, 
由 于 每 个 


程 


字 , 每 个 应 


UID) 和 组 标识 
识 (UID) 就 是 它 的 标识 。 


如 图 1-3 所 示 ， 第 一 列 是 所 有 应 用 程序 的 上 


应 用 程序 被 安装 在 设备 上 ， 


RPC) 。 


(Group Identification，GID) 。 只 要 应 用 程序 安 


应 用 程序 。 应 用 程序 com.paypal.com 对 应 的 用 


， 能 将 用 户 与 用 户 之 间 互 相隔 离 。Android 系统 使 用 Linux 的 这 个 特性 作 
单 的 一 个 多 用 户 平台 ,其 中 的 每 个 用 户 
程序 间 互 相 独 立 。 Linux 内 核 承载 了 设备 驱动 程序 , 例如 蓝牙 

和 闪存 的 驱动 程序 。 它 还 提供 了 一 种 机 制 用 于 安全 的 远程 过 程 调 用 (Remote 


它 被 赋予 了 唯一 的 用 户 标 识 (User Wentheadons 


装 在 设备 上 ， 这 个 用 户 标 


户 标识 (UID) 。 请 注意 那些 高 亮 显示 的 
户 标识 (uD 是 app 8，com.skype.com 


对 应 的 用 户 标识 (UID) 是 app_64。 在 Linux 内 核 中 ， 这 些 应 用 程序 依靠 这 个 ID 在 它们 
自身 的 进程 中 运行 。 


A 
日 HUBU 
DBHBRPBBH 


00000000 5 
O0000000 
don 
qa 
rrr 


DB866886 S co 


00000000 5 
DBHHBBH0 
DBBBBBBH 


DBBPBDBHH 
[TT 


WCHAN PC NAME 


图 1-3 


当 在 shell 中 输入 命令 id 时 ， 内 核 显 示 用 户 标识 (UID) 、 组 标识 〈GID ) 和 与 shell 
相关 的 群 组 ， 如 图 1-4 所 示 。 这 是 Android 用 来 隔离 进程 的 进程 沙 箱 模 型 ， 两 个 进程 间 可 


以 互相 共享 数据 。 如 何 制定 恰当 的 机 制 将 在 第 4 章 中 进行 讨论 。 


虽然 大 多 数 Android 应 用 程序 使 用 Java 语言 编号， 但 有 时 也 需要 编写 原生 的 应 用 程 
序 。 原 生 应 用 程序 更 加 复杂 ， 因 为 开发 者 需要 管理 内 存 和 专用 设备 的 问题 。 开 发 者 可 以 


使 用 Android NDK 
Linux 进程 沙 箱 规则 


何 Java 应 


程 语 


工具 集 在 C/C++ 当中 开发 部 分 应 用 程序 。 所 有 的 原生 应 用 程序 都 遵循 
; 原生 应 用 程序 和 Java 应 用 程序 的 安全 性 是 一 样 的。 请 记 住 就 像 任 
样 ， 适 当 的 安全 工具 如 加 密 、 散 列 和 安全 通信 是 必需 的 。 
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“ Select Command Prompt - adb shell |- 口 |x| 


id 
id=2998(she11》 gid=28@@Cshell》 groups 抽 6863C(graphics),1884Cinput), 1887 109> .1889 


Cmount),.181iCadbh),10@1iS5Csdcard_rw),3801Cnet_ht_adnin),3882Cnet_ht» 


1.2.2 中间 件 


位 于 Linux 内 核 之 上 的 是 为 代码 执行 提供 库 文 件 的 中 间 件 ， 此 类 库 的 例子 当中 包括 
libSSL、libc 和 OpenGL。 本 层 也 为 Java 应 用 程序 提供 运行 环境 。 

由 于 大 多 数 用 户 使 用 Java 编写 Android 应 用 程序 ， 一 个 显而易见 的 问题 是 : Android 
是 否 提 供 Java 虚拟 机 ? 答案 是 没有 ，Android 不 提供 Java 虚拟 机 。 因 此 Java 存档 (Java 
Archive，JAR) 文件 将 不 会 在 Android 上 执行 ， 因 为 Android 并 不 执行 字 节 码 。Android 
是 供 的 是 Dalvik 虚拟 机 。Android 使 用 名 为 dx 的 工具 将 字 节 码 转 换 成 Dalvik 可 执行 代码 

(Dalvik Executable, DEX) 。 

Dalvik 虚拟 机 

它 最 初 由 Dan Bomstein 开发 并 以 他 的 祖先 在 Iceland 居住 过 的 渔村 的 名 字 Dalvik 来 
命名 。Dalvik 是 一 个 基于 寄存 器 的 、 高 度 优化 的 、 开 源 的 虚拟 机 。Dalvik 不 向 Java SE 或 
Java ME 看 齐 ， 并 且 它 的 库 是 基于 Apache Harmony 项 目的 。 

每 个 Java 应 用 程序 运行 在 自身 的 虚拟 机 上 。 当 设备 启动 时 ， 一 个 称 为 Zygote 的 新 进 
程 会 产生 一 个 虚拟 机 进程 。 然 后 Zygote 进程 交叉 创建 新 的 请 求 进程 虚拟 机 。 

在 Dalvik 背后 的 主要 动机 是 通过 增加 共享 来 减少 内 存 占用 ， 在 Dalvik 中 的 常量 池 也 
由 此 成 为 共享 池 ， 它 同样 共享 核心 以 及 在 不 同 虚拟 机 进程 当中 的 只 读 库 。 

Dalvik 依赖 于 Linux 平台 上 的 所 有 底层 功能 , 如 线程 和 内 存 管 理 。 Dalvik 对 每 个 虚拟 
机 都 有 一 个 独立 的 垃圾 回收 器 ， 但 要 谨慎 处 理 共享 资源 的 进程 。 

Dan Bomstein 在 Google IO 2008 大 会 上 做 了 一 个 关于 Dalvik 的 伟大 演讲 。 读 者 可 以 
在 http://www.youtube.com/watch?v=ptjedOZEXPM 网 站 阅读 相关 内 容 。 


1.2.3 ”应 用 程序 层 


应 用 程序 开发 者 开发 基于 Java 的 应 用 程序 在 Android 堆 的 应 用 程序 层 交 互 。 除 非 正 
在 创建 原生 应 用 程序 ， 否 则 本 层 将 会 提供 创建 应 用 程序 的 所 有 资源 。 可 以 进一步 将 应 
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程序 层 划分 为 应 用 程序 架构 层 和 应 用 程序 层 。 应 用 程序 架构 层 提供 了 一 些 Android 堆 当中 
所 显现 的 类 供应 用 程序 使 用 。 这 其 中 的 例子 包括 管理 Activity 生命 周期 的 Activity 管理 器 ， 
以 及 管理 安装 和 外 载 应 用 程序 的 软件 包 管理 器 和 发 送 通知 给 用 户 的 通知 管理 器 。 

应 用 程序 层 是 应 用 程序 存在 的 层 。 这 些 应 用 程序 可 能 是 系统 应 用 程序 或 用 户 应 用 程 
序 。 系 统 应 用 程序 是 与 设备 捆绑 在 一 起 的 应 用 程序 ， 如 邮件 、 日 历 、 通 讯 录 和 浏览 器 
用 户 不 能 卸载 这 些 应 用 程序 。 用 户 应 用 程序 是 用 户 安装 在 设备 上 的 第 三 方 应 用 程序 。 用 
户 可 以 根据 自己 的 意愿 安装 和 外 载 这 些 应 用 程序 。 

Android 应 用 程序 结构 


在 理解 了 应 用 程序 层 的 安全 之 后 ， 更 重要 的 是 理解 Android 应 用 程序 结构 。 每 个 
Android 应 用 程序 作为 组 件 堆 而 创建 , 这 种 应 用 程序 结构 的 完美 之 处 在 于 每 个 组 件 都 是 一 
个 独立 的 实体 ， 并 且 甚 至 可 以 被 其 他 应 用 程序 完全 地 调用 。 这 种 应 用 程序 结构 提倡 共享 
组 件 . 图 1-5 展示 了 一 个 Android 应 用 程序 的 剖析 结构 , 它 包 括 Activity、 Service、 Broadcast 
Receiver 和 Content Provider。 


Ds 


Content 
四 


Android 支持 如 下 4 种 组 件 。 

口 、Activity: 该 组 件 通 常 作为 应 用 程序 的 UI 部 分 。 这 是 一 个 与 用 户 交互 的 组 件 。 
Activity 组 件 的 一 个 例子 是 用 户 输入 用 户 名 和 密码 来 进行 服务 器 验证 的 登录 页 面 。 

口 Service: 该 组 件 负责 妥善 处 理 后 台 运行 的 进程 。Service 组 件 没有 UI。 该 组 件 的 
例子 可 以 是 一 个 与 音乐 播放 器 同步 并 且 播放 用 户 预先 选择 的 歌曲 的 组 件 。 

口 ”BroadcastReceiver: 该 组 件 是 一 个 接收 来 自 Android 系统 或 其 他 应 用 程序 的 信息 
的 邮箱 。 例 如 ，Android 系统 在 启动 后 打开 一 个 称 为 BOOT_ COMPLETED 的 
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Intent。 应 用 程序 组 件 可 以 在 清单 文件 中 注册 以 监听 广播 。 

口 ”Content Provider: 该 组 件 用 于 应 用 程序 的 数据 存储 。 应 用 程序 也 可 以 与 Android 
系统 的 其 他 组 件 共 享 这 些 数 据 。Content Provider 组 件 的 例子 是 一 个 存储 用 户 购 
物 意愿 清单 里 保存 的 项 目 列表 的 APP 应 用 。 

上 述 所 有 组 件 都 在 AndroidManifestxml 清单 ) 文件 中 声明 。 除 了 这 些 组 件 之 外 ， 
清单 文件 当中 还 列 出 了 其 他 应 用 程序 的 需求 ， 例 如 Android 所 需 的 最 低 API 级 别 、 访 问 
Internet 和 读 取 通 信 录 之 类 的 应 用 程序 所 需 的 用 户 权限 、 应 用 程序 使 用 的 硬件 如 蓝牙 、 照 
相机 和 应 用 程序 链接 库 如 Google Maps API 等 的 权限 。 在 第 4 章 当中 会 更 加 详细 地 讨论 清 
单 文件 。 

Activity、Service、Broadcast Receiver 和 Content Provider 使 用 Intent 互相 通信 。Intent 
是 Android 异步 进程 间 通 信 (Inter-process Communication，IPC) 的 机 制 。 组 件 关闭 Intent 
产生 一 个 动作 并 且 接 收 组 件 在 它 之 上 执行 动作 。 传 递 Intent 给 每 种 类 型 的 组 件 都 有 一 个 独 
立 的 机 制 ， 所 以 Activity Intent 只 能 传递 给 Activity 并 且 Broadcast Intent 只 能 传递 给 
Broadcast Receiver。Intent 也 包含 一 组 信息 ， 这 组 信息 被 称 为 Intent 对 象 。 该 对 象 用 于 接 
收 那 些 用 来 执行 适当 动作 的 组 件 。 这 种 情况 下 ， 需 要 清醒 地 认识 到 Intent 并 不 安全 。 任何 
监听 应 用 程序 都 可 以 监听 Intent， 所 以 不 要 在 它 上 面 存放 任何 敏感 信息 。Intent 不 但 可 以 
被 恶意 应 用 程序 监听 还 可 以 被 其 随意 更 改 。 

1-6 展示 了 两 个 应 用 程序 ， 应 用 程序 A 和 应 用 程序 B， 以 及 它们 的 组 件 堆 。 只 要 
具有 权限 ， 这 些 组 件 可 以 互相 通信 。 应 用 程序 A 的 Activity 组 件 可 以 使 用 startActivity() 
方法 启动 应 用 程序 B 的 Activity 组 件 ， 并 且 也 可 以 使 用 startService( 方 法 打开 它 自身 的 


Service。 


应 用 程序 A 应 用 程序 B 
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在 应 用 程序 层 ，Android 组 件 遵 守 基 于 权限 的 模型 。 这 意味 着 一 个 组 件 必须 要 有 适当 
的 权限 才能 调用 其 他 组 件 。 尽管 Android 提供 大 部 分 应 用 程序 可 能 需要 的 权限 , 开发 者 仍 
然 具备 扩展 这 个 模型 的 能 力 〈 但 是 这 种 情况 应 该 尽 少 使 用 ) 。 

附加 资源 如 位 图 、UI 布局 和 字符 串 等 都 独立 地 保存 在 不 同 的 目录 中 ， 为 了 获得 最 佳 
的 用 户 体验 ， 这 些 资源 应 该 为 不 同 的 区 域 设置 本 地 化 ， 并 为 不 同 的 设备 配置 自 定义 方案 。 

后 续 章 节 会 详细 地 讲解 应 用 程序 结构 、 清 单 文件 以 及 权限 模型 等 方面 的 内 容 。 


1.3 应 用 程序 签名 


Android 的 区 分 因素 之 一 是 Android 应 用 程序 签名 的 方式 。 所 有 Android 应 用 程序 都 
是 自 签名 的 ， 不 需要 使 用 认证 授权 为 应 用 程序 签名 。 这 不 同 于 传统 的 在 签名 处 标识 作者 
并 依据 信任 签名 的 应 用 程序 签名 。 

应 用 程序 的 签名 把 应 用 程序 和 作者 联系 在 一 起 。 如 果 用 户 安装 多 个 相同 作者 编写 的 
应 用 程序 ， 并 且 这 些 应 用 程序 希望 共享 彼此 的 数据 ， 它 们 需要 与 相同 的 签名 联系 在 一 起 ， 
并 且 应 该 在 清单 文件 中 设置 一 个 SHARED ID 标志 。 

应 用 程序 签名 也 会 在 应 用 程序 升级 时 使 用 。 应 用 程序 升级 要 求 两 个 应 用 程序 有 相同 
的 签名 并 且 没 有 权限 升级 。 这 是 另 一 种 Android 确保 应 用 程序 安全 的 机 制 。 

作为 一 名 应 用 程序 开发 者 来 说 , 重要 的 是 确保 用 于 应 用 程序 签名 的 专用 密 钥 的 安全 ， 
个 人 的 声誉 依赖 于 它 。 


1.4 在 设备 上 的 数据 存储 


Android 为 确保 在 设备 上 的 数据 存储 安全 提供 了 不 同 的 解决 方案 。 基 于 数据 类 型 和 应 
用 程序 使 用 情况 ， 开 发 者 可 以 选择 最 佳 的 解决 方案 。 

对 于 需要 在 用 户 会 话 中 保留 的 基本 数据 类 型 如 int 型 、boolean 型 、long 型 、float 型 
和 string 型 ， 最 好 使 用 共享 的 数据 类 型 。 共 享 的 数据 推荐 采用 键 - 值 对 的 方式 存储 ， 这 种 
方式 允许 开发 者 保存 、 检 索 和 永久 保留 数据 。 

所 有 的 应 用 程序 数据 和 应 用 程序 一 起 存储 在 沙 箱 中 ， 这 意味 着 这 些 数 据 只 能 被 这 个 
应 用 程序 或 其 他 拥有 相同 的 已 被 授权 共享 数据 的 签名 的 应 用 程序 访问 。 在 这 个 存储 器 中 
存储 私有 数据 文件 是 最 好 的 。 当 外 载 应 用 程序 时 ， 这 些 文件 将 会 被 删除 。 

对 于 大 型 数据 集 ， 开 发 者 可 以 选择 使 用 Android 软件 堆 所 附带 的 SQLite 数据 库 。 

所 有 的 Android 设备 允许 用 户 挂 载 外 部 存储 设备 ， 如 SD 卡 等 。 开 发 者 可 以 编写 使 得 
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大 文件 可 以 存储 在 这 些 外 部 设备 的 应 用 程序 。 大 部 分 外 部 存储 设备 有 一 个 VFAT 文件 系 
统 ， 并 且 Linux 访问 控制 不 在 这 里 起 作用 。 敏 感 的 数据 应 该 在 存储 到 这 些 外 部 设备 之 前 
进行 加 密 。 

从 Android 2.2 (API8) 开始 , APK 可 以 存储 在 外 部 设备 当中 。 使 用 随机 生成 的 密 钥 ， 
APK 被 保存 在 一 个 称 为 asec 文件 的 加 密 容器 中 。 该 密 钥 存储 在 设备 上 ，Android 外 部 设 
备 使 用 noexec 加 载 。 所 有 的 DEX 文件 、 私 人 数据 和 本 地 共享 库 仍然 驻 留 在 内 存 中 。 

只 要 存在 网 络 连接 ， 开 发 者 就 可 以 在 他 们 的 Web 服务 器 上 存储 数据 。 在 自己 的 服务 
器 上 存储 可 能 会 侵害 用 户 隐私 的 数据 是 明智 的 。 这 种 应 用 程序 的 例子 就 是 用 户 账号 信息 
和 交易 明细 应 存储 在 服务 器 而 不 是 用 户 设备 上 的 银行 应 用 程序 。 

在 第 7 章 当 中 将 会 更 加 详细 地 讨论 在 Android 设备 上 的 数据 存储 选项 。 

诸如 视频 、 电 子 书 和 音乐 此 类 的 版 权 保 护 内 容 可 以 在 Android 中 使 用 DRM 架构 API 
得 到 保护 。 应 用 程序 开发 者 可 以 使 用 DRM 架构 API 去 注册 具有 DRM 方案 的 设备 、 获 取 
与 内 容 、 提 取 限制 和 与 证 书 内 容 相 关 许 可 的 设备 。 


1.5 加 密 的 API 


Android 拥有 一 个 全 面 加 密 的 API 套件 , 应 用 程序 开发 者 可 以 使 用 它 在 存储 和 传输 数 
据 时 ， 保 证 数据 的 安全 。 

Android 为 数据 的 对 称 和 非 对 称 加 密 、 随 机 数 生成 、 散 列 、 消 息 验证 码 和 不 同 的 密码 
模式 提供 API， 支 持 的 算法 包括 DH、DES、 三 重 DES、RC2 和 RC5。 

安全 通信 协议 (如 SSL 和 TLS) 结合 加 密 的 API 可 以 用 来 在 传输 时 保护 数据 安全 ， 
同样 提供 包括 X.509 证 书 的 密 钥 管 理 API。 

系统 密 钥 存储 从 Android 1.6 VPN 使 用 时 开始 被 使 用 。 随 着 Android 4.0 的 到 来 ,一 
个 新 的 称 为 keychain 的 API 为 应 用 程序 提供 了 对 存储 证 书 的 访问 ,该 API 也 允许 从 X5.09 
证 书 和 PKCS#12 密 钥 库 安装 证 书 。 一 旦 应 用 程序 被 授权 访问 证 书 ， 则 它 也 可 以 访问 与 证 
书 相 关 的 密 钥 。 

在 第 6 章 当 中 将 会 详细 讨论 加 密 API 的 相关 内 容 。 


1.6 设备 管理 


随 着 移动 设备 在 工作 场所 的 增加 ，Android 2.2 推出 了 设备 管理 API， 以 允许 用 户 和 
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IT 专业 人 员 管 理 访问 企业 数据 的 设备 。 使 用 该 API，IT 专业 人 员 可 以 在 设备 上 添加 系统 
级 安全 策略 如 远程 擦 除 、 密 码 启用 和 密码 细节 。Android 3.0 和 Android 4.0 进一步 增强 了 
该 API 的 密码 过 期 、 密 码 限 制 、 设 备 加 密 要 求 和 禁用 照相 机 的 策略 。 如 果 读 者 有 一 个 电 
子 邮 件 客户 端 并 使 用 它 在 Android 手机 上 访问 公司 的 电子 邮件 ,那么 此 时 最 有 可 能 正在 使 
用 设备 管理 API。 

设备 管理 API 通过 强制 执行 安全 策略 来 运行 。DevicePolicyManager 列 出 了 设备 管理 
员 可 以 在 设备 上 强制 执行 的 所 有 策略 。 

设备 管理 员 编 写 用 户 安装 在 他 们 设备 上 的 应 用 程序 。 安 装 完成 后 ， 用 户 需 要 激活 策 
略 来 强制 执行 在 设备 上 的 安全 策略 。 如 果 用 户 没有 安装 应 用 程序 ， 那 么 安全 策略 并 不 适 
用 ， 而 且 用 户 不 能 使 用 由 该 应 用 程序 提供 的 任何 功能 。 如 果 在 设备 上 有 多 个 设备 管理 应 
用 程序 ， 则 严格 以 策略 为 准 。 如 果 用 户 卸 载 了 应 用 程序 ， 那 么 策略 会 被 停 用 。 应 用 程序 
可 以 决定 将 手机 恢复 出 三 设置 或 根据 权限 删除 数据 使 之 恢复 至 未 安装 时 的 状态 。 

在 第 8 章 中 将 会 更 加 详细 地 讨论 设备 管理 。 


1.7 小 结 


Android 是 一 个 内 置 安全 平台 的 现代 操作 系统 。 正 如 在 本 章 中 学 习 的 一 样 ，Linux 内 
核 利 用 进程 隔离 莫 定 了 Android 安全 模型 的 基础 。 每 个 应 用 程序 及 其 应 用 数据 ,从 其 他 进 
程 中 隔离 。 在 应 用 程序 层 ,组 件 间 使 用 Intent 通信 并 且 需 要 具有 调用 其 他 组 件 的 相应 权限 。 
这 些 权限 在 Linux 内 核 中 被 强制 执行 ， 该 内 核 作 为 一 个 安全 的 多 用 户 操作 系统 已 经 经 受 
住 时 间 的 考验 。 开 发 者 具有 一 套 全 面 加密 的 保护 用 户 数据 安全 的 API。 

在 学 习 了 Android 平台 的 基础 知识 之 后 ,第 2 章 将 学 习 从 安全 的 角度 理解 应 用 程序 组 
件 和 内 部 组 件 通信 。 


第 2 章 应 用 程序 构建 块 


本 章 重点 介绍 Android 应 用 程序 的 构建 块 , 即 应 用 程序 组 件 和 组 件 间 的 通信 。Android 
系统 有 4 种 类 型 的 组 件 ， 即 Activity、Service、Broadcast Receiver 和 Content Provider。 每 
个 组 件 被 专门 设计 来 完成 特定 的 任务 。 这些 组 件 的 集合 组 成 了 Android 应 用 程序 。 这 些 组 
件 使 用 Intent 进行 通信 ，Intent 是 Android 内 部 进程 通信 的 机 制 。 

目前 市 面 上 有 一 些 讨论 如 何 构 建 Android 组 件 和 Intent 的 书籍 。 但 实际 上 ，Android 
开发 者 网 站 在 介绍 使 用 组 件 编程 方面 做 了 很 好 的 工作 。 因 此 ， 本 章 并 不 是 涵盖 这 些 组 件 
实现 的 细节 ， 而 是 讨论 每 个 组 件 的 安全 方面 ， 以 及 如 何在 保护 开发 者 声誉 和 消费 者 隐私 
的 应 用 程序 中 安全 地 定义 和 使 用 组 件 和 Intent。 

组 件 和 Intent 是 本 章 的 重点 。 对 于 每 个 Android 组 件 ， 将 包含 组 件 声明 、 组 件 相关 
权限 ， 以 及 其 他 具体 到 特定 组 件 的 安全 考虑 。 本 章 将 讨论 不 同类 型 的 Intent 以 及 在 特定 情 
况 下 使 用 的 最 佳 Intent。 


2.1 应 用 程序 组 件 


正如 在 第 1 章 中 已 经 描述 的 那样 ，Android 应 用 程序 是 松散 耦合 的 应 用 程序 组 件 堆 。 
应 用 程序 组 件 、 清 单 文件 和 应 用 程序 资源 被 打包 成 应 用 程序 包 格 式 (Application Package 
Format) .apk 文件 。 一 个 APK 文件 本 质 上 是 一 个 被 格式 化 成 JAR 文件 格式 的 ZIP 文件 。 
Android 系统 只 能 识别 APK 格式 ， 因 此 所 有 的 安装 包 必 须 以 APK 格式 安装 到 Android 设 
备 上 。 一 个 APK 文件 随后 被 开发 者 签名 以 维护 著作 权 。PackageManager 类 执行 安装 和 钊 
载 应 用 程序 的 任务 。 

本 节 将 详细 地 讨论 每 种 组 件 的 安全 ， 这 包含 组 件 在 清单 文件 中 的 声明 ， 因 此 要 对 其 
进行 适当 讲解 并 考量 每 个 组 件 所 特有 的 其 他 安全 因素 。 


2.1.1 Activity 


Activity 是 通常 和 用 户 交 互 的 应 用 程序 组 件 .Activity 扩展 Activity 类 并 被 实现 为 view 
和 fragment。Fragment 被 引入 到 Honeycomb 来 解决 不 同 屏幕 尺寸 的 问题 。 在 小 屏幕 里 ， 
fragment 作为 单一 的 Activity 显示 ， 并 且 人 允许 用 户 切 换 到 第 二 个 Activity 去 显示 第 二 个 
fragment。Fragment 和 被 Activity 分 出 的 线程 在 Activity 当中 运行 。 因此， 如 果 Activity 
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被 销毁 ， 那 么 相关 的 fragment 和 线程 也 会 随 之 销毁 。 

一 个 应 用 程序 可 以 包含 多 个 Activity。 使 用 一 个 Activity 集中 于 单个 任务 并 为 各 个 任 
务 创建 不 同 的 Activity 是 最 佳 的 。 例 如 ， 如 果 正 在 创建 网 站 上 订购 书籍 的 应 用 程序 ， 创 建 
一 个 Activity 用 于 用 户 登 录 、 一 个 Activity 用 于 在 数据 库 中 搜索 书籍 、 一 个 Activity 用 于 
登记 订购 信息 、 一 个 用 于 登记 支付 信息 等 是 最 佳 的 。 这 种 创建 Activity 的 风格 鼓励 在 应 用 
程序 内 部 以 及 在 设备 上 安装 的 应 用 程序 重复 调用 Activity。 组 件 的 重复 调用 有 两 个 主要 的 
好 处 。 第 一 ， 有 助 于 减少 漏洞 ， 因 为 有 较 少 的 代码 重复 。 第 二 ， 使 应 用 程序 更 加 安全 ， 
因为 不 同 组 件 之 间 有 较 少 的 数据 共享 。 

1. Activity 声明 


应 用 程序 调用 的 任何 Activity 必须 在 AndroidManifest xml 文件 中 声明 。 下 面 的 代码 
段 显示 了 在 清单 文件 中 声明 的 login Activity 和 order Activity。 
<activity android:label="@string/app name" android:name=".LoginActivity"> 
<intent-filter> 
<action android:name="android.intent.action.MAIN" /> 
<category android:name="android.intent.category.LAUNCHER" /> 
</intent-filter> 
</activity> 
<activity android:name=".OrderActivity" android:permission ="com.example. 
project .ORDER BOOK" android:exported="false"/> 


请 注意 ，LoginActivity 声明 为 一 个 可 能 被 系统 中 任何 Activity 启动 的 public Activity。 
OrderActivity 声明 为 一 个 不 会 在 应 用 程序 外 部 暴露 的 private Activity (没有 Intent Filter 
的 Activity 是 一 个 private Activity, 将 只 通过 指定 其 明确 的 文件 名 来 调用 )。 附 加 的 android: 
exported 标签 如 果 对 于 应 用 程序 外 部 是 透明 的 ， 则 可 以 用 来 指定 。true 值 使 Activity 在 应 
用 程序 外 部 是 透明 的 ， 而 false 值 则 相反 。 在 本 章 后 面部 分 讨论 Intent Filter。 

所 有 Activity 可 以 被 权限 保护 。 在 上 面 的 这 个 例子 当中 ，OrderActivity 除了 是 private 
之 外 ， 还 被 权限 com.example.project.ORDER_BOOK 保护 。 试 图 调用 OrderActivity 的 任 
何 组 件 应 该 具有 这 个 自 定 义 权 限 。 

通常 情况 下 ， 当 启动 后 ，Activity 在 声明 它 的 应 用 程序 的 进程 中 运行 。 将 android: 
multiprocess 属性 设置 为 true 能 够 使 得 Activity 在 不 同 的 应 用 程序 进程 中 运行 。 这 些 进程 
指定 可 以 使 用 android:process 属性 定义 。 如 果 属 性 值 以 冒号 〈:) 开始 ， 则 创建 一 个 新 的 
对 应 用 程序 为 private 的 进程 ， 如 果 以 小 写字 母 开始 ， 则 Activity 在 全 局 进程 中 运行 。 

android:configChanges 标签 允许 应 用 程序 处 理由 于 列 出 配置 更 改 导 致 的 Activity 重 
启 。 这 些 更 改 包 括 改变 语言 环境 、 增 加 外 接 键盘 以 及 更 换 SIM。 
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2. 保存 Activity 状态 

所 有 Activity 都 是 系统 在 Activity 堆 中 管理 的 。 当 前 与 用 户 交 互 的 Activity 在 前 台 运 
行 。 当 前 的 Activity 可 以 启动 其 他 Activity。 在 后 台 运行 的 任何 Activity 由 于 资源 限制 都 
有 可 能 被 Android 系统 关闭 。Activity 在 配置 更 改 时 也 可 能 会 重启 ， 如 从 垂直 到 水 平 的 方 
向 翻转 。 正 如 在 上 文 提 到 的 一 样 ，Activity 可 以 使 用 android:configChanges 标签 来 处 理 一 
些 这 类 事件 本 身 。 不 过 这 是 不 值得 提倡 的 ， 因 为 这 样 可 能 导致 前 后 不 一 致 。 

在 重启 之 前 ， 应 该 保留 Activity 的 状态 。Activity 的 生存 周期 是 由 以 下 方法 定义 的 。 


public class Activity extends ApplicationContext { 


protected 
protected 
protected 
protected 
protected 
protected 
protected 
} 


void 
void 
void 
void 
void 
void 
void 


onCreate (Bundle savedInstanceState); 
onstart (); 

onRestart (); 

onResume (); 

onPause (); 

onstop(); 

onDestroy(); 


Activity 可 以 重 写 onSaveInstanceState(Bundle savedInstanceState) 方 法 和 onRestoreInstance 
State(Bundle savedInstanceState) 方 法 来 保存 和 恢复 实例 值 ， 例 如 用 户 首选 项 和 未 保存 的 文 
本 。Android 开发 者 网 站 (http:Wwww.developer.android.com) 使 用 图 2-1 完美 地 演示 了 这 


个 过 程 。 


Another activity comes 站 Another activity comes in 
front of the activity front of the activity 


The system 
ee recreates the 
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back to the 


activity 
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Changes 
User navigates 
App CO 
activity a 
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because the activity is intact 


图 2-1 
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以 下 代码 段 显示 了 Activity 是 如 何 存储 和 检索 首选 语言 、 搜 索 结果 的 数量 以 及 作者 姓 
名 的 。 当 关闭 Activity 时 ， 用 户 首选 项 作为 Bundle 类 存储 (以 名 称 - 值 对 的 形式 存储 〉。 
当 Activity 重启 时 ， 这 个 Bundle 类 被 传递 到 恢复 Activity 状态 的 onCreate() 方 法 。 重 要 的 
是 注意 这 个 存储 的 方法 是 不 支持 应 用 程序 重启 的 。 
@Override 
public void onSaveInstanceState (Bundle savedInstanceState) { 
super.onSaveInstanceState (savedInstanceState); 
savedInstanceState.putInt ("ResultsNum", 10); 
savedInstanceState.putString ("MyLanguage", "English"); 
savedInstanceState.putString ("MyAuthor", "Thomas Hardy"); 
} 
@Override 
public void onRestoreInstanceState (Bundle savedInstanceState) { 
super.onRestoreInstanceState (savedInstanceState); 
int ResultsNum = savedInstanceState.getInt ("ResultsNum"); 
String MyLanguage = savedInstanceState.getString ("MyLanguage"); 
String MyAuthor = savedInstanceState.getString ("MyAuthor"); 
} 


3 保存 用 户 数据 

正如 在 前 面 所 讨论 的 一 样 , Activity 与 用 户 交 互 , 所 以 它们 可 能 会 收集 一 些 用 户 数 据 。 
这 些 数据 可 以 专用 于 应 用 程序 或 者 与 其 他 应 用 程序 共享 。 这 种 类 型 数据 的 例子 是 用 户 的 
首选 语言 或 者 书籍 类 别 。 为 了 提升 用 户 体 验 ， 这 种 类 型 的 数据 通常 被 应 用 程序 保留 。 它 
们 在 应 用 程序 中 是 有 用 的 并 且 不 会 被 其 他 应 用 程序 共享 。 

有 关 共 享 数 据 的 一 个 例子 就 是 用 户 通过 浏览 商店 不 断 添加 到 收藏 中 的 书籍 意愿 清 
单 ， 这 些 数 据 能 否 被 其 他 应 用 程序 共享 。 

基于 隐私 和 数据 的 类 型 不 同 ， 对 数据 的 存储 可 以 采用 不 同 的 存储 机 制 。 应 用 程序 可 
以 决定 使 用 SharedPreferences 类 、Content Provider、 在 内 部 或 外 部 存储 器 上 存储 的 文件 或 
者 甚至 是 开发 者 自己 的 网 站 来 存储 这 种 类 型 的 数据 。 本 章 主要 讨论 Content Provider， 第 
7 章 将 会 讨论 其 他 永久 数据 存储 机 制 。 


2.1.2 Service 


不 同 于 Activity，Service 缺少 可 视 化 界面 并 且 通 常 作为 后 台 长 时 间 运 行 的 任务 。 理 想 
情况 下 ， 即 使 负责 启动 它 的 Activity 已 不 存在 ，Service 也 应 该 在 后 台 保持 运行 。 当 完成 
任务 后 ，Service 应 该 自动 停止 。 最 适合 作为 Service 任务 的 例子 是 数据 库 同 步 、 从 网 络 上 
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传 或 下 载 文 件 、 与 音乐 播放 器 交互 播放 用 户 选择 的 曲目 ， 以 及 应 用 程序 可 以 结合 获取 信 
息 的 全 局 Service。 

保护 Service 安全 开始 于 清单 文件 中 的 声明 。 接 下 来 重要 的 是 为 用 例 识 别 准确 的 
Service 以 及 管理 Service 的 生存 周期 。 这 包括 启动 和 停止 Service 以 及 创建 工作 线程 来 避 
免 阻 塞 应 用 程序 。 在 接 下 来 的 章节 当中 将 会 涵盖 到 这 些 方面 。 本 章 最 后 一 个 部 分 是 有 关 
绑 定 器 的 ， 这 是 大 多 数 Android IPC 的 主干 并 且 人 允许 使 用 客户 -服务 器 方式 启动 Service。 


1. Service 声明 


应 用 程序 计划 启动 的 所 有 Service 需要 在 清单 文件 中 声明 。Service 声明 定义 一 个 
Service 一 旦 创建 后 将 如 何 运行 。 以 下 代码 段 显 示 了 在 清单 文件 中 <service> 标 签 的 语法 。 


<service android:enabled=["true" | "false"] 
android:exported=["true" | "false"] 
android:icon="drawable resource" 
android:isolatedProcess=["true" | "false"] 
android:label="string resource" 
android:name="string" 
android:permission="string" 
android:process="string" > 


</service> 
基于 上 述 的 声明 语法 ， 对 于 运行 在 全 局 进程 中 ， 向 数据 库 当 中 存储 书籍 信息 的 应 用 
程序 的 私有 Service， 可 以 声明 如 下 : 
<service 
android:name="bookService" 
android:process=":my process" 
android:icon="@drawable/icon" 


android:label="@string/service name" > 
</service> 


默认 情况 下 ，Service 在 应 用 程序 的 全 局 进程 中 运行 。 如 果 应 用 程序 希望 在 不 同 进程 
中 启动 Service, 可 以 使 用 属性 android:process 完成 。 如 果 属 性 值 以 冒号 (:) 开 始 , 则 Service 
在 应 用 程序 内 部 启动 一 个 新 的 private 进程 。 如 果 以 小 写字 符 开 始 ， 则 创建 一 个 新 的 对 所 
有 Android 系统 的 应 用 程序 都 是 可 见 的 并 且 可 访问 的 全 局 进程 。 在 上 述 的 例子 中 , Service 
在 自身 的 全 局 进程 中 运行 。 应 用 程序 应 该 具有 权限 来 创建 这 样 一 个 进程 。 

android:enabled 属性 定义 系统 是 否 可 以 实例 化 Service。 该 属性 的 默认 值 为 true。 

android:exported 属性 限制 Service 的 公开 。true 值 意味 着 这 个 Service 在 应 用 程序 外 
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部 是 可 见 的 。 如 果 Service 包含 Intent Filter， 则 它 对 其 他 应 用 程序 是 可 见 的 。 这 个 属性 的 
默认 值 是 true。 

为 了 在 独立 进程 中 运行 Service， 人 缺少 所 有 权限 ， 需 要 设置 android:isolatedProcess 属 
性 为 tue。 在 这 种 情况 下 ， 唯 一 与 Service 交互 的 方式 是 通过 绑 定 到 Service。 该 属性 的 默 
认 值 是 false。 

像 Activity 一 样 ，Service 被 权限 保护 。Service 在 清单 文件 中 使 用 android:permission 
定义 。 调 用 的 组 件 需要 具有 适当 的 权限 来 调用 Service， 和 否则 会 在 调用 过 程 中 抛 出 
SecurityException 异常 。 

2. Service 模式 


可 以 在 两 种 环境 当中 使 用 Service。 在 第 一 种 环境 中 ，Service 作为 一 种 助手 Service， 
该 组 件 可 以 启动 用 来 运行 长 时 间 运 行 的 任务 。 这 样 的 Service 称 为 启动 (started) Service。 
第 二 种 情况 ，Service 是 作为 一 个 或 多 个 应 用 程序 组 件 的 信息 提供 者 。 在 这 种 情况 下 ， 
Service 在 后 台 运 行 并 且 应 用 程序 组 件 通 过 调用 bindService() 方 法 绑 定 到 Service 上 。 这 种 
Service 称 为 绑 定 (bound) Service。 
启动 Service 扩展 了 Service 类 和 IntentService 类 。 这 两 种 方式 之 间 的 主要 区 别 是 多 请 
求 的 处 理 。 当 扩展 Service 类 时 ， 应 用 程序 需要 谨慎 处 理 多 请 求 。 这 在 onStartCommand() 
方法 中 完成 。 
IntentService0 类 让 所 有 请 求 的 排队 以 及 一 次 性 处 理 它们 变 得 更 加 人 简单。 因此， 开发 
者 无 须 关 心 线程 。 如 果 在 适当 使 用 的 情况 下 , 为 了 避免 多 线程 漏洞 , 推荐 使 用 IntentService 
类 。IntentService 类 为 任务 和 自动 排队 的 请 求 启动 工作 线程 。 这 个 任务 在 onHandleIntentO 
方法 中 完成 。 以 下 是 一 个 IntentService 类 的 例子 。 
public class MyIntentService extends IntentService { 
public MyIntentService() { 
super ("MyIntentService"); 
ee 
protected void onHandleIntent (Intent intent) { 
// TODO Auto-generated method stub 
: . 
绑 定 Service 是 客户 端 服 务 器 部 署 情 况 下 产生 的 ， 其 中 的 Service 充当 服务 器 并 且 客 
户 端 绑 定 信息 到 它 之 上 。 这 通过 使 用 bindService( 方 法 来 完成 。 当 客户 端 被 退出 时 ， 使 用 
unbindService() 方 法 从 Service 解 绑 。 
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绑 定 Service 可 以 面向 一 个 应 用 程序 的 组 件 或 者 不 同 应 用 程序 的 组 件 。 只 面向 一 个 应 
用 程序 组 件 的 绑 定 Service 可 以 扩展 Binder 类 并 且 实 现 返回 IBinder 对 象 的 onBind() 方 法 。 
如 果 Service 面向 多 个 应 用 程序 ， 则 信使 或 者 Android 接口 定义 语言 (Android Interface 
Definition Language，AIDL) 工具 可 用 于 生成 由 Service 发 布 的 接口 。 使 用 信使 更 加 容易 
实现 ， 因 为 它 能 够 谨慎 处 理 多 线程 。 

当 绑 定 到 一 个 Service 时 , 重要 的 是 要 检查 Activity 绑 定 到 的 Service 的 身份 信息 。 这 
| 以 通过 明确 指定 Service 名 称 来 完成 。 如 果 Service 名 称 不 可 用 ， 则 客户 端 可 以 检查 
Service 的 身份 ， 使 用 ServiceConnection.onServiceConnected() 方 法 连接 。 另 一 种 方法 是 使 
权限 检查 。 


提示 : 对 于 启动 Service，onBind() 方 法 返回 空 值 。 
3. 生命 周期 管理 
Service 可 以 由 任何 组 件 使 用 startService() 方 法 和 传递 如 下 Intent 对 象 来 启动 。 


Intent intent = new Intent(this, MyService.class); 

startService (intent) 

与 其 他 组 件 一 样 ， 启 动 Service 同样 可 以 被 Android 系统 所 销毁 ， 以 收集 与 用 户 正在 
交互 的 进程 资源 。 在 这 种 情况 下 ，Service 将 会 基于 在 onStartCommand() 方 法 当中 所 设置 
的 返回 值 而 被 重启 。 下 面 就 是 这 样 的 一 个 例子 。 

@Override 

public int onStartCommand (Intent intent, int flags, int startId) { 

handleCommand (intent); 
// Let the service run until it is explicitly stopped 
return START STICKY; 

} 

重启 Service 有 如 下 3 种 选项 。 

口 START_NOT_STICKY: 这 个 选项 表示 除非 有 挂 起 Intent， 和 否则 Android 系统 不 
重启 Service。 本章 后 续 部 分 将 会 讨论 挂 起 Intent。 该 选项 的 最 佳 应 用 场景 是 可 以 
安全 地 重启 并 在 随后 完成 的 那些 尚未 完成 的 作业 的 情况 。 

口 ”START _STICKY: 这 个 选项 表示 Service 应 该 由 系统 启动 。 如 果 初 始 化 的 Intent 
丢失 了 ， 那 么 onStartCommand() 方 法 以 空 Intent 启动 。 这 对 即使 初始 化 的 Intent 
丢失 了 ，Service 仍然 可 以 恢复 其 任务 的 情形 最 佳 。 例 如 音乐 播放 器 一 旦 被 系统 
停止 就 再 次 启动 。 

口 START REDELIVER_INTENT: 在 这 个 选项 当中 , Service 被 重启 并 且 挂 起 Intent 
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被 重新 传递 到 Service onStartCommand() 方 法 。 例 如 通过 网 络 下 载 文件 。 

需要 注意 的 是 ，Service 不 同 于 创建 线程 。 当 与 线程 捆绑 的 组 件 被 停止 时 ， 线 程 将 会 
被 立即 停止 。Service 默认 在 全 局 应 用 程序 线程 中 运行 ， 即 使 是 在 调用 的 组 件 被 破坏 的 情 
况 下 也 会 仍然 存在 如果 Service 正在 运行 一 些 费 时 的 Activity( 如 下 载 一 个 极 大 的 文件 )， 
那么 在 一 个 独立 的 线程 中 创建 它 以 避免 阻塞 应 用 程序 是 明智 的 。 

启动 Service 默认 在 应 用 程序 线程 中 运行 。 当 运行 应 用 程序 时 ， 任 何 阻塞 Activity 应 
该 在 独立 的 线程 中 创建 以 避免 潜在 的 瓶颈 问题 。IntentService 类 通过 大 量 创 建 工作 线程 谨 
慎 处 理 这 种 情形 。 

当 完 成 任务 时 , 这 两 种 启动 Service 应 该 通过 调用 stopSeft0 方 法 来 停止 。 任何 组 件 都 
可 以 通过 使 用 stopService() 方 法 停止 Service。 

当 不 再 有 客户 端 绑 定 Service 时 ， 它 就 会 被 系统 停止 。 
注意 : Service 可 以 启动 和 绑 定 。 在 这 种 情形 下 ， 不 要 忘记 调用 stopSelf0 或 者 stopService() 

方法 停止 在 后 台 持 续 运行 的 Service。 


4. Binder 


Binder 是 大 多 数 Android IPC 的 骨干 , 它 是 一 个 内 核 驱动 并 且 所 有 Binder 调用 都 通过 
内 核 。 信 使 也 是 基于 Binder 的 。Binder 可 以 混合 实现 ， 应 该 仅 用 于 在 Service 迎合 在 不 同 
进程 中 运行 的 多 个 应 用 程序 ， 同 时 想 要 自行 处 理 多 线程 的 情况 下 。Binder 架构 在 操作 系 
统 中 集成 ， 因 此 一 个 进程 想 要 使 用 另 一 个 进程 的 Service 的 话 ， 需 要 将 对 象 转型 为 基本 实 
体 (primitives) 。 操 作 系 统 随 后 将 它 传递 越过 进程 边界 。 为 了 使 这 项 任务 对 开发 者 来 说 
更 加 容易 ，Android 提供 了 AIDL。 图 2-2 说 明了 Binder 是 怎样 成 为 所 有 Android IPC 的 
核心 的 。Binder 由 AIDL 公开 出 来 。Intent 也 像 Binder 一 样 实现 。 但 是 从 用 户 的 角度 看 ， 
这 些 复 杂 性 是 隐藏 的 。 当 从 内 部 移动 到 更 大 的 同心 圆 时 ， 实 现 将 变 得 更 加 抽象 。 


Binder 
exposed 
through AIDL 


OU 


图 2-2 
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要 使 用 AIDL 创建 绑 定 Service, 首先 要 创建 一 个 AIDL 文件 .然后 ,使 用 Android SDK 
工具 生成 接口 。 这 个 接口 包含 了 扩展 android.os.Binder 类 的 stub0) 方 法 以 及 实现 onTransactO0 
方法 。 客 户 端 接收 Binder 接口 的 引用 并 且 调 用 它 的 transact() 方 法 。 数 据 流 成 为 Parcel 对 
象 通过 这 个 通道 。Parcel 对 象 是 可 序列 化 的 ， 因 此 它 可 以 有 效 地 通过 进程 边界 。 
注意 : Parcel 对 象 被 定义 为 高 性 能 IPC 传输 ， 因 此 它们 不 应 该 被 用 于 通用 序列 化 。 


如 果 多 个 进程 正在 使 用 Service， 一 旦 将 它 公 开 ， 一 定 要 注意 不 要 改变 AIDL， 因 为 
其 他 应 用 程序 也 可 能 正在 使 用 它 。 如 果 这 种 改变 是 绝对 有 必要 的 ， 那 么 它 应 该 至 少 是 向 
后 兼容 的 。 

Binder 在 系统 中 是 全 局 唯一 的 ， 并 且 Binder 的 引用 可 被 用 于 作为 一 个 共享 的 秘密 来 
验证 可 信 组 件 。 保 持 Binder 的 私有 性 一 直 是 个 不 错 的 主意 ， 有 Binder 引用 的 任何 组 件 可 
以 创建 对 它 的 调用 并 且 可 以 调用 transact() 方 法 。 它 是 由 Service 来 响应 请 求 的 。 例 如 ， 系 
统 Service 的 Zygote， 公 开 任 何 Activity 都 可 以 绑 定 的 Binder， 但 是 调用 它 的 transact() 方 
法 并 不 意味 着 它 会 被 绑 定 。 

Binder 可 以 基于 <service> 标签 的 android:process 属性 在 相同 的 进程 或 者 不 同 的 进程 
中 运行 。 

Binder 通过 内 核 安 全 地 提供 调用 组 件 和 权限 的 身份 识别 。 调 用 者 的 身份 可 以 使 用 
Binder 的 getCallingPid0) 方 法 和 getCallingUid() 方 法 来 检查 。 一 个 Binder 可 以 轮流 调用 其 
他 Binder， 其 他 Binder 在 这 种 情况 下 可 以 使 用 调用 Binder 的 身份 识别 。 检 查 调用 者 的 权 
限 ， 可 以 使 用 ContextcheckCallingPermission() 方 法 。 检 查 调用 者 或 Binder 本 身 是 否 有 特 
定 的 权限 ， 可 以 使 用 Context.checkCallingOrSeftPermission() 方 法 。 


2.1.3 Content Provide 


Android 系统 使 用 Content Provider 进行 数据 存储 ， 如 通讯 录 、 日 历 和 字典 。Content 
Provider 是 Android 的 越过 进程 边界 处 理 结构 化 数据 的 机 制 . 它 也 可 以 在 应 用 程序 里 使 用 。 

在 大 多 数 情况 下 ，Content Provider 的 数据 存储 在 SQL 数据 库 中 。identifier id 被 用 作 
主键 。 与 SQL 一 样 ， 用 户 通过 编写 查询 访问 数据 。 这 些 查 询 可 以 是 rawQuery0 或 者 query0， 
取决 于 它们 是 否 是 原始 SQL 语句 或 者 结构 化 查询 。 查 询 的 返回 类 型 是 一 个 Cursor 对 象 ， 
该 对 象 指 向 结果 当中 的 一 行 。 用 户 可 以 使 用 辅助 方法 (如 getCountO0、moveToFirstO、 
isAfterLast() 以 及 moveToNext0) 在 多 行 之 间 切 换 。 一 旦 任务 完成 ， 需 要 使 用 close() 方 法 
关闭 Cursor 对 象 。 

Provider 支持 许多 不 同类 型 的 数据 ， 包 括 整 型 、 长 整 型 、 单 精度 浮 点 型 、 双 精度 浮 点 
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型 和 实现 为 64KB 数组 BLOB 型 〈 二 进 制 大 对 象 ，Binary Large Object) 。Provider 也 可 
以 返回 标准 型 或 者 MIME 型 数据 。 一 个 标准 的 MIME 型 数据 的 例子 是 text/html 文件 。 对 
于 自 定义 的 MIME 型 ， 其 所 对 应 的 多 行 和 单行 的 值 分 别 为 vnd.android.cursor.dir 和 
vnd.android.cursor.item。 

图 2-3 展示 了 可 以 从 中 提取 数据 库 、 文 件 甚至 远程 服务 器 的 Content Provider。 应 用 
程序 的 其 他 组 件 可 以 访问 它 ， 因 此 ， 只 要 提供 适当 的 权限 ， 其 他 应 用 程序 组 件 也 可 以 访 


问 它 。 


图 2-3 


以 下 部 分 讨论 Provider 声 明 、 定 义 适当 的 权限 以 及 避免 常见 的 安全 隐患 ,这 对 Provider 
数据 的 安全 访问 是 必要 的 。 

1. Provider 声明 

应 用 程序 要 使 用 的 任何 Provider 必须 在 清单 文件 中 声明 。Provider 标签 的 语法 如 下 : 


<provider android:authorities="]ist" 
android:enabled=["true" | "false"] 
android:exported=["true" | "false"] 
android:grantUriPermissions=["true" | "false"] 
android:icon="drawable resource" 
android:initOrder="integer" 
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android:label="string resource" 
android:multiprocess=["true" | "false"] 


android:name="string" 


android:permission="string" 
android:process="string™" 
android:readPermission="string" 
android:syncable=["true" | "false"] 
android:writePermission="string" > 


a 

基于 前 面 的 声明 语法 ， 一 个 在 用 户 意 愿 清 单 里 保存 书籍 列表 的 自 定义 Provider 可 以 
声明 如 下 。Provider 具有 读 和 写 的 权限 并 且 客 户 端 可 以 申请 临时 访问 路 径 /figures。 

<provider 

android:authorities="com.example.android.books.contentprovider" 

android:name=".contentprovider.MyBooksdoContentProvider" 

android:readPermission="com.example.android.books.DB READ" 

android:writePermission="com.example.android.book.DB WRITE"> 

<grant-uri-permission android:path="/figures/" /> 

<meta-data android:name="books" android:value="@string/books" /> 
</provider> 

字符 串 android:authorities 列 出 了 被 应 用 程序 公开 的 Provider。 例 如 , 如果 一 个 Provider 
的 URI 为 content://com.example.android.books.contentprovider/wishlist/English， 其 中 的 
content:// 所 代表 的 是 协议 (scheme) ，com.example.android.books.contentprovider 是 权限 ， 
wishlist/English 是 路 径 。 必 须 至 少 指定 一 个 权限 ， 多 个 权限 之 间 使 用 分 号 分 隔 ， 它 应 该 遵 
守 Java 命名 空间 规则 以 避免 冲突 。 

布尔 值 android:enabled 标签 指定 系统 可 以 启动 Provider。 如 果 该 值 为 tue， 则 系统 可 
以 启动 Provider; 反之 ，false 值 不 允许 系统 启动 Provider。 需 要 注意 的 是 ， 在 这 种 情况 之 
下 ， 在 <application> 标签 和 <provider> 标签 中 的 android:enabled 属性 都 需要 为 true。 

如 果 Provider 发 布 到 其 他 应 用 程序 ， 则 android:exported 设置 为 tue。 对 于 android: 
targetSdkVersion 或 者 android:minSdkVersion 设置 为 16 或 者 更 低 的 应 用 程序 ， 默 认 值 为 
true。 对 于 其 他 应 用 程序 ， 默 认 值 是 false。 

属性 标签 android:grantUriPermission 被 用 来 提供 对 数据 的 一 次 性 访问 , 这 些 数据 受到 
权限 的 保护 ， 和 否则 它 是 无 法 通过 组 件 访问 的 。 如 果 该 属性 被 设置 为 tue， 则 会 允许 组 件 克 
服 由 android:readPermission、android:writePermission 和 android:permission 属性 施加 的 限 
制 并 且 被 允许 访问 任意 Content Provider 的 数据 。 如 果 该 属性 设置 为 false 则 只 能 授权 在 
<grant-uri- permission> 标 签 中 列 出 的 数据 集 上 访问 数据 。 该 标签 的 默认 值 是 false。 
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整 型 值 android:initOrder 是 Provider 启动 的 顺序 。 数 值 越 高 ， 启 动 越 早 。 如 果 在 应 用 
程序 的 Provider 中 有 依赖 项 ， 那 么 该 属性 特别 重要 。 

字符 串 android:label 是 Content Provider 的 用 户 可 读 标签 。 

布尔 值 android:multiprocess 属性 如 果 设 置 为 true, 则 允许 系统 在 每 个 与 它 交 互 的 应 用 
程序 的 进程 中 创建 Provider 实例 ， 这 避免 了 进程 间 通 信 的 开销 。 其 默认 值 为 false， 这 意 
味 着 Provider 只 在 定义 它 的 应 用 程序 进程 中 实例 化 。 

字符 串 android:permission 标签 声明 客户 端 必须 与 Provider 交互 的 权限 。 

字符 串 android:readPermission 和 字符 串 android:writePermission 定义 客户 端 应 该 分 别 
读 和 写 Provider 数据 的 权限 。 如 果 定 义 了 这 两 个 字符 串 ， 这 些 权限 将 取代 android: 
permission 值 。 有 意思 的 是 ， 尽 管 字符 串 android:writePermission 只 允许 写 数据 库 ， 它 通 
常会 使 用 到 WHERE 子 句 ， 聪 明 的 工程 师 可 以 围绕 这 些 子 句 读 取 数 据 库 。 所 以 写 权限 在 
某 种 程度 上 也 被 视 为 读 权 限 。 

android:process 属性 定义 了 Provider 应 该 运行 的 进程 。 通 常情 况 下 ，Provider 和 应 用 
程序 在 同一 个 进程 中 运行 。 然 而 ， 如 果 要 求 在 一 个 独立 的 私有 进程 里 运行 ， 则 它 可 以 被 
指定 一 个 以 冒号 (:) 开始 的 名 称 。 如 果 名 称 以 小 写字 母 开始 ， 则 Provider 在 全 局 进程 中 
实例 化 能 够 跨 应 用 程序 共享 。 

android:syncable 属性 允许 通过 设置 该 值 为 true 将 数据 同步 到 服务 器 上 。false 值 不 允 
许 将 数据 同步 到 服务 器 上 。 

一 个 <provider> 标 签 可 以 包含 3 个 子 标签 。 第 一 个 为 <grant-uri-permission> 标 签 ， 语 
法 如 下 : 

<grant-uri-permission android:path="string" 


android:pathPattern="string" 
android:pathPrefix="string" /> 


另 一 个 是 <path-permission> 标 签 ， 其 语法 如 下 : 


<path-permission android:path="string" 
android:pathPrefix="string" 
android:pathPattern="string" 
android:permission="string" 
android:readPermission="string" 
android:writePermission="string" /> 


第 三 个 是 <meta-data> 标 签 ， 该 标签 定义 了 与 Provider 相关 的 元 数据 ， 如 下 所 示 : 


<meta-data android:name="string" 


android:resource="resource Specification" 
android:value="string" /> 
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注意 : 要 提供 Provider 级 别 上 的 单独 读 和 写 ， 需 要 分 别 使 用 android:readPermission 和 
android:writePer mission 。 要 提供 通用 Provider 级 别 上 的 读 / 写 权限 ， 需 要 使 用 
android:permission 属性 。 启 用 临时 权限 ， 设 置 android:grantUriPermissions 属性 。 
还 可 以 使 用 <grant-uri-permission> 子 元 素 实现 相同 功能 。 启 用 路 径 级 别 权限 ， 可 以 
使 用 <provider> 的 子 元 素 一 一 <path-permission>。 


2. 其 他 安全 考虑 


Content Provider 扩展 了 ContentProvider 抽象 类 ， 该 类 有 query0、insert()、update()、 
delete0、getType0 和 onCreate06 个 方法 ， 这 些 方法 全 部 都 需要 被 实现 。 如 果 Provider 不 
支持 其 中 一 些 功能 ， 则 应 该 返回 一 个 异常 ， 该 异常 应 当 能 够 跨 进 程 边界 进行 通信 。 

如 果 多 线程 正在 读 和 写 Provider 数据 ， 那 么 同步 是 个 需要 注意 的 问题 。 这 可 以 使 所 
有 前 面 提 到 的 方法 通过 使 用 关键 词 synchronize (同步 ) 来 谨慎 处 理 ， 因 此 只 有 一 个 线程 
可 以 访问 Provider。 另 外 ，android:multipleprocess=true 可 设置 成 为 每 个 客户 端 创建 一 个 实 
例 。 延 迟 和 性 能 问题 在 这 种 情况 下 必须 进行 权衡 。 

在 某 些 情况 下 ， 为 了 保持 数据 的 完整 性 ， 可 能 需要 以 确定 的 格式 在 Provider 中 输入 
数据 。 例 如 ， 在 每 个 元 素 上 附加 的 标签 可 能 是 必要 的 。 为 了 达到 这 个 目的 ， 客 户 端 不 直 
接 调用 ContentProvider 和 ContentResolver 类 .相反 ,Activity 可 以 被 委托 给 接口 和 Provider。 
需要 访问 Provider 数据 的 所 有 客户 端 发 送 一 个 mtent 给 Activity， 然 后 这 个 Activity 执行 
预期 的 操作 。 

如 果 传 递 给 查询 的 值 不 加 验证 , 那么 SQL 注入 可 以 在 Content Provider 中 很 轻易 地 被 
执行 。 下 面 是 一 个 这 样 的 例子 。 

// mUserInput is the user input 

String mSelectionClause = "var = " + mUserInput; 

恶意 用 户 可 以 在 这 里 输入 任何 文本 ,这 可 能 是 “nothing; DROP TABLE *;” 之 类 的 语 
句 ， 这 样 的 语句 将 会 进行 删除 表 的 操作 。 开 发 者 应 该 对 此 种 情况 进行 SQL 查询 的 辨别 。 
户 数据 应 该 参数 化 并 且 应 当 审查 可 能 的 不 良 Activity。 

用 户 可 能 会 使 用 正则 表达 式 检查 用 户 输入 的 语法 。 以 下 代码 段 显示 如 何 验证 用 户 输 
入 属于 字母 数字 范围 的 字符 。 该 代码 段 使 用 了 String 类 的 matches 功能 。 
if (myInput.length() <= 0) { 
valid = false; 
} else if (!myInput.matches("[a-zA-20-9 ]+")) { 


valid = false; 
} else { 
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Valid = true; 

} 

当 在 数据 库 上 存储 数据 时 ， 读 者 在 存储 之 前 可 能 喜欢 对 某 些 敏感 信息 进行 加 密 ， 如 
密码 和 信用 卡 信息 。 请 注意 ， 加 密 一 些 字段 可 能 会 影响 索引 和 排序 的 性 能 。 此 外 ， 有 一 
些 开源 的 工具 ， 如 SQLCipher for Android (http:/sqlciphernet) ， 提 供 了 完整 的 使 用 256 
位 AES 的 SQLite 数据 库 加 密 算法 。 


2.1.4 Broadcast Receiver 


在 API level 1 当中 介绍 到 ，Broadcast Receiver 是 一 个 适用 于 应 用 程序 从 系统 或 者 其 
他 应 用 程序 接收 Intent 的 机 制 。Receiver 的 妙 处 在 于 即使 应 用 程序 不 运行 ， 它 仍然 接收 可 
以 触发 进一步 事件 的 Intent。 用 户 可 能 会 意识 不 到 Broadcast 的 存在 。 例 如 ， 和 希望 尽快 在 系 
统 启动 后 启动 后 台 Service 的 应 用 程序 ， 可 以 注册 Intent.ACTION_BOOT_CMPLETE 系统 
Intent。 和 希望 自 定义 到 一 个 新 时 区 的 应 用 程序 可 以 注册 ACTION_TIMEZONE_CHANGED 
事件 。Service 发 送 一 个 Broadcast Intent 的 例子 如 图 2-4 所 示 。 已 经 在 Android 系统 注册 
了 这 样 Broadcast 的 Receiver 将 接收 Broadcast Intent。 


TAG 


((( gE 
(CE 


waouanm  〈((( IE 


Registered 
receivers 


图 2-4 


应 用 程序 可 以 在 清单 文件 中 声明 一 个 Receiver。Receiver 类 随后 将 扩展 BroadcastReceiver 
类 并 实现 onReceive() 方 法 。 或 者 应 用 程序 可 以 使 用 Context.registerReceiver 动态 地 创建 和 


注册 一 个 Receiver。 


1. Receiver 声明 
Receiver 可 以 在 清单 文件 中 声明 如 下 : 


<receiver android:enabled=["true" | "false"] 
android:exported=["true" | "false"] 
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android:icon="drawable resource" 
android:label="string resource" 
android:name="string" 
android:permission="string" 
android:process="string" > 


</receiver> 

例如 ， 假 设 有 两 个 应 用 程序 。 第 一 个 应 用 程序 允许 用 户 搜索 书籍 并 且 将 书籍 添加 到 
意愿 清单 中 。 第 二 个 应 用 程序 侦 听 已 经 将 书籍 添加 到 意愿 清单 的 ntent。 随 后 第 二 个 应 用 
程序 将 意愿 清单 同步 到 服务 器 的 清单 当中 。 在 第 二 个 应 用 程序 的 清单 文件 中 ，Receiver 
声明 的 例子 如 下 : 


<receiver 
android:name="com.example.android.book2.MessageListener" > 
<intent-filter> 
<action 
android:name="com.example.android.book]l .my-broadcast"/> 
</intent-filter> 
</receiver> 


Receiver com.example.android.book2.MessageListener 是 一 个 公共 的 Receiver， 并 且 负 
责 监听 应 用 程序 com.example.android.bookl 事件 。intent-filter 标签 过 滤 Intent。 

应 用 程序 bookl 可 以 发 送 一 个 类 似 如 下 的 Intent: 

Intent intent = new Intent(); 

intent .setRction ("com.example.android.bookl.my-broadcast") 

sendBroadcast (intent) 7 

<receiver> 标 签 的 属性 如 下 。 

口 android:enabled: 设置 该 属性 为 tue， 人 允许 系统 实例 化 Receiver。 该 属性 的 默认 
值 为 tue。 该 标签 必须 和 <application> 的 android:enabled 属性 结合 使 用 。 两 者 都 
必须 为 tue， 让 系统 实例 化 它 。 

口 android:exported: 设置 这 个 属性 为 tue， 使 Receiver 对 系统 的 所 有 程序 都 可 见 。 
如 果 为 false, 那么 它 只 能 从 相同 的 应 用 程序 或 者 具有 相同 用 户 ID 的 应 用 程序 中 
接收 Intent。 如 果 应 用 程序 没有 Intent Filter， 那 么 默认 值 为 false， 因 为 它 假定 该 
Receiver 是 私有 的 。 如 果 定 义 了 Intent Filter， 那 么 默认 值 为 tue。 在 前 面 的 例子 
中 具有 Intent Filter， 所 以 Receiver 对 系统 的 其 余部 分 是 可 见 的 。 

口 android:name: 这 是 实现 Receiver 的 类 名 。 这 是 一 个 必需 的 属性 并 且 应 该 是 完全 
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限定 的 类 名 。 一 旦 声明 了 Receiver， 应 该 尽量 不 要 改变 名 称 ， 因 为 其 他 应 用 程序 
可 能 正在 使 用 它 ， 改 变 名 称 将 破坏 它们 的 功能 。 

口 ”android:permission: 利用 权限 保护 Receiver。 使 用 该 属性 指定 发 送 Intent 到 
Receiver 的 组 件 应 该 具有 的 权限 。 如 果 在 这 里 没有 列 出 权限 ， 那 么 <application> 
标签 的 权限 被 使 用 。 如 果 没 有 指定 权限 ， 那 么 Receiver 并 没有 被 保护 。 

口 android:process: 默认 情况 下 在 应 用 程序 的 进程 中 实例 化 Receiver。 如 果 需 要 ， 

可 以 在 这 里 声明 进程 的 名 称 。 如 果 名 称 以 冒号 〈:) 开始 ， 那 么 在 一 个 应 用 程序 

内 的 私有 进程 中 实例 化 它 。 如 果 以 小 写字 母 开 始 并 且 应 用 程序 具有 权限 ， 那 么 

它 在 全 局 进程 中 运行 。 

2. 保护 发 送 和 接收 Broadcast 安全 

Broadcast 有 两 种 类 型 ， 即 正常 (normal) Broadcast 和 有 序 (ordered) Broadcast。 使 
用 Context.sendBroadcast() 异 步 发 送 正常 Broadcast， 并 且 监 听 它 的 所 有 Receiver 都 能 接收 
它 。 而 使 用 Context.sendOrderBroadcast 发 送 的 有 序 Broadcast， 则 一 次 只 能 传递 到 一 个 
Receiver。Receiver 增加 它 的 结果 并 将 它 发 送 到 下 一 个 Receiver。 在 Intent Filter 当中 可 以 
使 用 android:priority 属性 设置 顺序 。 如 果 有 多 个 Filter 具有 相同 的 优先 级 ， 那 么 接收 
Broadcast 的 顺序 是 随机 的 。 

Broadcast 是 异步 的 , 发 送 Broadcast 但 不 能 保证 Receiver 能 接收 到 它 。 在 这 种 情况 下 
用 程序 必须 要 确保 其 能 正常 运行 。 
Broadcast 可 以 包含 额外 的 信息 。 任 何 监听 Broadcast 的 Receiver 都 可 以 接收 一 个 已 发 
送 的 Broadcast， 因 此 不 在 Broadcast 中 发 送 敏 感 信息 是 明智 的 。 此 外 ， 可 以 利用 权限 保护 
Broadcast。 这 是 通过 在 sendBroadcast() 方 法 提供 一 个 允许 字符 串 完 成 的 。 只 有 具有 适当 权 
限 的 应 用 程序 ， 通 过 使 用 <user-permission> 声 明 才 可 以 接收 它 。 同 样 地 ， 可 以 将 允许 字符 
串 添 加 到 sendOrderBroadcast() 方 法 中 。 

当 一 个 进程 仍然 正在 执行 onReceive0 方 法 时 ， 那 么 它 被 认为 是 前 台 进程 。 一 旦 进程 
离开 onReceive() 方 法 ， 它 就 被 认为 是 不 活跃 的 进程 并 且 系 统 将 试图 停止 它 。 任 何 正在 
onReceive() 方 法 执行 的 异步 操作 都 可 能 被 停止 。 例 如 ， 当 Broadcast 被 接收 时 启动 一 个 
Service， 应 该 使 用 Context .startService() 方 法 完成 。 

黏 性 Broadcast 一 直 保持 运行 状态 直到 手机 电源 耗 尽 或 者 一 些 组 件 删除 了 它 为 止 。 当 
在 Broadcast 中 的 信息 被 更 新 时 ， 则 Broadcast 被 更 新 为 较 新 的 信息 。 任 何 具有 
BROADCAST _STICKY 权限 的 应 用 程序 可 以 删除 或 者 发 送 黏 性 Broadcast, 因此 不 要 在 里 
面 保存 敏感 信息 。 此 外 ， 黏 性 Broadcast 不 能 被 权限 保护 ， 所 以 应 该 尽量 不 要 使 用 。 

权限 可 以 在 Receiver 中 执行 。 正 如 在 前 面部 分 讨论 的 一 样 ， 这 可 以 通过 在 清单 文件 


已 
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中 添加 权限 或 者 通过 在 registerReceiver() 方 法 中 动态 添加 来 完成 。 

启动 Ice Cream Sandwich, 可 以 通过 设置 Intent.setPackage 来 限制 Broadcast 只 被 一 个 
应 用 程序 接收 。 

有 一 些 在 Intent 类 中 定义 的 系统 Broadcast 操作 ， 这 些 事件 由 系统 触发 并 且 应 用 程序 
不 能 触发 它们 。 不 过 Receiver 可 以 注册 以 监听 其 任意 某 些 事件 。 这 其 中 的 操作 包括 
ACTION TIMEZONE CHANGED、ACTION BOOT _ COMPLETED、ACTION PACKAGE 
ADDED 、ACTION PACKAGE REMOVED 、ACTION POWER DISCONNECTED 和 
ACTION _ SHUTDOWN。 


3. 本 地 Broadcast 


如 果 Broadcast 旨 在 应 用 程序 内 的 组 件 , 那么 使 用 LocalBroadcastManager 辅助 类 更 好 。 
该 辅助 类 是 Android 支持 包 中 的 一 部 分 。 除 了 比 发 送 全 局 Broadcast 更 加 有 效 之 外 ， 它 还 
更 安全 ， 因 为 它 不 离开 应 用 程序 进程 并 且 对 其 他 应 用 程序 不 可 见 。 由 于 对 应 用 程序 来 说 
Broadcast 是 本 地 的 ， 它 不 需要 在 清单 文件 中 声明 。 

本 地 Broadcast 可 以 使 用 如 下 方式 进行 创建 。 

Intent intent = new Intent ("my-local-broadcast"); 

Intent .putExtra("message", "Hello World!'"); 

LocalBroadcastManager.getInstance (this) .sendBroadcast (intent); 

下 面 的 代码 段 负责 监听 本 地 Broadcast。 


@Override 

public void onCreate (Bundle savedInstanceState) { 
super.onCreate (savedInstanceState); 
// ... other code goes here 


LocalBroadcastManager.getInstance (this) .registerReceiver( 
mMessageReceiver, new IntentFilter("my-local-broadcast")); 


} 


private BroadcastReceiver mMessageReceiver = new BroadcastReceiver() { 
Q@Override 
public void onReceive (Context context, Intent intent) { 
String message = intent.getStringExtra("message"); 
Log.d("Received local broadcast" + message); 
// ... other code goes here 
} 
a 
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2.2 Intent 


Intent 是 Android 内 部 组 件 通 信 的 机 制 。Intent 是 异步 的 ， 所 以 组 件 对 它们 进行 操作 ; 
验证 传 入 的 Intent 数据 以 及 在 其 之 上 的 操作 是 接收 组 件 的 任务 。Intent 被 Android 系统 用 
来 启动 Activity 或 者 Service、 用 来 与 Service 通信 、 广 播 事件 或 者 改变 、 使 用 挂 起 Intent 
接收 通知 以 及 查询 Content Provider 等 。 

为 每 一 个 组 件 处 理 Intent 的 机 制 不 尽 相同 。 因 此 , 发 送 到 Activity、Service 和 Broadcast 
Receiver 的 Intent 只 被 Android 系统 发 送 到 各 自 对 应 的 位 置 。 例 如 ， 使 用 Context. 
startActivity() 方 法 发 送 启动 Activity 的 事件 将 只 解决 Activity 匹配 Intent 的 准则 。 同 样 ， 
使 用 Context.sendBroadcast() 发 送 的 Broadcast 将 被 Receiver 而 不 是 其 他 组 件 接收 。 

在 Intent 发 送 之 前 ， 重 要 的 是 要 检查 是 否 有 组 件 负责 处 理 该 Intent。 如 果 没有 ， 应 用 
程序 将 会 骨 江 。 可 以 使 用 PackageManager 类 的 queryIntentActivities0) 方 法 查询 匹配 的 
Intent。 


注意 : 任何 恶意 应 用 程序 都 可 以 发 送 Intent 到 公开 的 组 件 。 因此， 在 操作 之 前 验证 输入 是 
组 件 的 职责 所 在 。 


Intent 基本 上 是 在 组 件 之 间 传 递 的 序列 化 对 象 。 该 对 象 包含 了 一 些 被 其 他 组 件 用 来 操 
作 的 信息 。 例如 , 一 个 使 用 登录 证 书 登 录用 户 的 Activity 会 启动 另 一 个 加 载 先前 用 户 使 用 
Context.startActivity() 方 法 选择 书籍 的 Activity。 在 这 种 情况 下 ，Intent 会 包含 用 户 账 户 名 ， 
这 将 会 被 用 来 获取 存储 在 服务 器 上 的 书籍 信息 

一 个 Intent 对 象 通 常会 包含 以 下 4 ee 息 

(1) Component Name (组 件 名 称 ) : 一 个 显 式 Intent 来 说 ， 组 件 名 称 是 必需 的 。 
如 果 与 te ed 那么 它 必须 是 一 个 全 限定 的 类 名 。 

(2) Action String (操作 字符 串 〉: 一 个 操作 字符 串 是 被 执行 的 操作 。 例 如 ， 操 作 
字符 串 ACTION_CALL 将 启动 拨打 电话 。Broadcast 操作 ACTION_BATTERY_LOW 是 一 
个 提示 应 用 程序 低 电量 的 警告 。 

(3) Data (数据 ): 这 是 数据 和 MIME 类 型 的 URI。 例 如 ， 对 于 ACTION_CALL， 
数据 将 是 tel: 类 型 。 数 据 和 数据 类 型 应 当 同 时 存在 。 为 了 处 理 一 些 数据 ， 重 要 的 是 了 解 其 
数据 类 型 ， 这 样 就 可 以 适当 地 处 理 。 

(4) Category〈 分 类 ) : 分 类 提供 了 附加 的 关于 组 件 可 以 接收 的 Intent 种 类 的 信息 ， 
从 而 增加 进一步 的 限制 .例如 , 浏览 器 可 以 安全 地 调用 具有 CATEGORY _ BROWSERABLE 
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分 类 的 Activity。 

Intent 是 异步 的 ， 所 以 通常 没有 什么 预期 的 结果 。 就 Activity 来 说 ，Intent 也 可 以 用 
来 启动 Activity 产生 结果 。 这 是 使 用 Context.startActivityForResult() 方 法 完成 的 ， 并 且 结 
果 会 返回 到 调用 的 使 用 finish0 方 法 的 Activity。 

用 于 Broadcast 的 Intent 通常 是 关于 刚 发 生 操 作 的 声明 。Broadcast Receiver 注册 监听 
这 样 的 事件 。 一 些 例子 包括 ACTION PACKAGE ADDED 、ACTION_TIME TICK、 
ACTION_ BOOT_ COMPLETED。 在 这 种 情况 下 ，Imtent 就 像 一 个 触发 器 ， 一 旦 事件 发 生 
就 要 执行 一 些 操作 。 
注意 : 不 要 在 Intent 对 象 当中 存储 任何 敏感 信息 ,而 是 使 用 另外 一 种 机 制 ， 在 组 件 之 间 共 

享 信息 ， 如 可 以 被 权限 保护 的 Content Provider。 


接收 组 件 使 用 getIntent(.getExtras0 方 法 获取 添加 到 Intent 类 的 额外 信息 。 安 全 的 编 
程 实践 要 求 应 该 验证 和 审核 输入 以 适应 于 接收 的 值 。 


2.2.1 显 式 Intent 


组 件 可 以 发 送 一 个 定向 Intent 到 唯一 的 组 件 。 要 实现 这 一 目标 , 组 件 应 该 知道 定向 组 
件 的 完全 限定 名 称 。 应 用 程序 A 的 Activity 发 送 一 个 显 式 Intent 到 应 用 程序 B 的 Activity 
过 程 示 意 如 图 2-5 所 示 。 


图 2-5 


例如 ， 一 个 Activity 可 以 使 用 如 下 代码 段 调用 ViewBooksActivity 显 式 地 与 内 部 
Activity 通信 。 

Intent myIntent = new Intent (this, ViewBooksActivity.class); 

startActivity (myIntent) 7 


如 果 ViewBooksActivity 是 外 部 Activity, 那么 组 件 名 称 应 该 是 该 类 的 完全 限定 名 称 。 
这 可 以 使 用 如 下 方式 实现 : 
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Intent myIntent = new Intent (this, "com.example.android.Books. 

ViewBooksActivity.class"); 

startActivity (myIntent); 

由 于 Intent 可 以 被 任何 应 用 程序 截获 ， 所 以 如 果 组 件 名 称 可 用 ， 最 好 显 式 地 调用 该 
组 件 。 


2.2.2 隐 式 Intent 


如 果 组 件 的 完全 限定 名 称 是 未 知 的 ， 那 么 组 件 可 以 通过 指定 需要 与 它 进 行 的 操作 的 
接收 组 件 进行 隐 式 调用 。 随后 , 系统 通过 匹配 在 Intent 对 象 中 指定 的 标准 去 识别 最 适合 处 
理 Intent 的 组 件 。 隐 式 Intent 的 描述 如 图 2-6 所 示 。 应 用 程序 A 的 Activity 发 送 Intent， 
系统 搜索 相关 的 可 以 处 理 此 类 Intent 的 组 件 (基于 Intent Filter 和 权限 ) 。 


图 2-6 


以 下 是 一 些 隐 式 Intent 的 例子 。 


// Intent to view a webpage 

Intent intent = new Intent (Intent-ACTION VIEW， Uri.parse("http://www- 
google.com")); 

// Intent to dial a telephone number 

Intent intent =new Intent (Intent .ACTION DIAL, Uri.parse ("tel:4081112222")); 
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//Intent to send an email 

Intent intent = new Intent (Intent.ACTION SEND); 

emailIntent.setType (HTTP.PLAIN TEXT TYPE); 

emailIntent .putExtra (Intent .EXTRA EMAIL, new String[] {"me@example.com"}); 
emailIntent.putExtra (Intent .EXTRA SUBJECT, "Hello Intent!"); 
emailIntent.putExtra (Intent .EXTRA TEXT, "My implicit intent"); 


2.2.3 Intent Filter 


对 于 由 系统 分 解 的 组 件 ， 它 需要 在 清单 文件 中 声明 为 适当 的 标识 符 。 这 个 任务 使 用 
Intent Filter 完成 。Intent Filter 定义 为 使 用 <activity>、<service> 或 者 <receiver> 声 明 的 <intent- 
filter> 子 标签 的 Activity。 当 分 解 适当 的 Activity 为 Intent 时 ， 系 统 只 考虑 Intent 对 象 的 3 
个 方面 ， 分 别 是 操作 、 数 据 (URI 和 MIME 类 型 ) 和 分 类 。 所 有 这 些 Intent 方面 必须 匹 
配 成 功 的 分 解 方法 。 组 件 名 称 只 用 于 显 式 Intent。 

Intent Filter 必须 包含 <action> 子 标签 并 且 可 能 包含 <category> 和 <data> 标 签 。<intent- 
filter> 声 明 的 例子 如 下 所 示 。 

作为 应 用 程序 起 点 的 Activity 可 以 使 用 如 下 标签 来 标识 : 

<intent-filter> 

<action android:name="android.intent.action.MAIN" /> 


<category android:name="android.intent.category.LAUNCHER" /> 
</intent-filter> 


允许 用 户 请 求 book 类 型 数据 的 Activity 可 以 定义 如 下 : 


<intent-filter> 
<action android:name="android.intent.action.GET CONTENT" /> 
<category android:name="android.intent.category.DEFAULT" /> 
<data android:mimeType="vnd.android.cursor.item/vnd.example.book"/> 
</intent-filter> 


Intent Filter 不 是 安全 边界 ， 并 且 不 应 该 依赖 于 安全 性 。Intent Filter 不 能 利用 权限 确 
保安 人 全。 此外， 任何 具有 Intent Filter 的 组 件 将 会 成 为 输出 组 件 ， 并 且 任 何 应 用 程序 可 以 
发 送 Intent 到 这 个 组 件 。 


2.2.4 挂 起 Intent 


就 Intent 来 说 ,接收 应 用 程序 利用 自身 权限 执行 代码 就 好 像 它 是 接收 应 用 程序 的 一 部 
分 。 就 挂 起 Intent 来 说 ， 接 收 应 用 程序 使 用 原始 应 用 程序 的 标识 和 权限 并 且 执行 代码 。 
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因此 挂 起 Intent 是 一 个 应 用 程序 给 予 另 一 个 应 用 程序 的 标记 , 以 便 其 他 应 用 程序 可 以 
利用 原始 应 用 程序 的 权限 和 标识 执行 某 段 代码 。 即 使 发 送 应 用 程序 进程 被 停止 或 被 破坏 ， 
挂 起 Intent 仍 会 执行 。 一 旦 事件 发 生 ， 这 个 挂 起 Intent 的 属性 可 以 完美 地 用 来 发 送 通知 到 
原始 应 用 程序 。 挂 起 Intent 可 以 是 显 式 或 者 隐 式 的 。 

至 于 附加 的 安全 性 ， 为 了 使 只 有 一 个 组 件 接收 Intent， 可 以 使 用 setComponent() 方 法 
将 组 件 添加 到 Intent。 默 认 情 况 下 ， 挂 起 Intent 不 能 被 接收 组 件 修 改 ， 这 是 出 于 安全 原因 所 
考虑 的 。 接 收 组 件 可 以 编辑 的 唯一 部 分 是 extras。 然 而 ， 发 送 者 设置 标志 来 显 式 地 启动 接 
收 组 件 编辑 PendingIntent。 要 实现 这 个 目标 ， 发 送 者 设置 使 用 flIn(mtent int) 方 法 的 规则 。 
例如 ， 如 果 发 送 者 希望 接收 者 覆盖 数据 区 〈 即 便 是 这 个 数据 区 域 已 经 进行 了 某 些 设置 ) ， 
发 送 者 仍 可 以 设置 FILL IN_ DATA=true。 这 是 一 个 非常 敏感 的 操作 ， 应 该 谨慎 完成 。 


23. 让 结 


本 章 回 顾 了 Android 系统 的 4 个 组 件 一 一 Activity、Service、Content Provider 和 Broadcast 
Receiver， 以 及 组 件 间 的 通信 机 制 一 一 Intent 和 Binder。 安 全 性 始 于 这 些 组 件 的 安全 声明 。 
作为 一 般 的 安全 准则 ， 公 开 信息 的 最 小 化 总 是 一 个 不 错 的 主意 。 所 有 Android 组 件 都 应 
被 权限 保护 。Intent 是 异步 组 件 并 且 应 该 总 是 验证 输入 。Intent Filter 是 减少 应 用 程序 攻击 
表层 的 好 方法 , 但 是 显 式 Intent 仍然 可 以 发 送 Intent 给 它 。 在 了 解 了 Android 组 件 和 通信 
机 制 之 后 ， 可 以 继续 深入 到 第 3 章 详细 了 解 有 关 Android 权限 方面 的 内 容 。 


第 3 章 权 限 


权限 是 本 章 的 重点 。 它们 是 Android 应 用 程序 的 组 成 部 分 , 并 且 几 乎 所 有 应 用 程序 开 
发 者 和 用 户 都 会 在 同一 时 间或 不 同时 间 遇 到 它们 。 正 如 在 第 1 章 中 讨论 的 那样 ， 安 装 时 
应 用 程序 审查 是 最 重要 的 安全 环节 。 这 一 步骤 是 由 用 户 做 全 有 或 全 无 的 决定 : 即 用 户 要 
么 接受 所 有 列 出 的 权限 ， 要 么 拒绝 下 载 应 用 程序 。 因 此 ， 作 为 Android 手机 用 户 ， 重 要 的 
是 了 解 权限 以 便 做 出 关于 应 用 程序 安装 的 决定 。 权 限 葛 定 了 保护 组 件 和 用 户 数据 安全 的 
基础 。 

本 章 将 会 从 Android 系统 的 既 有 权限 的 介绍 开始 ， 陆 续 讨 论 4 种 权限 保护 等 级 : 
Normal、Dangerous、Signature 和 SignatureOrSystem。 随 后 ， 将 会 讨论 如 何 使 用 权限 保护 
应 用 程序 及 其 组 件 安全 。 接 下 来 学 习 如 何 通过 添加 用 户 自 定 义 权限 来 扩展 权限 模型 。 本 
部 分 将 讨论 权限 组 、 权 限 树 和 在 清单 文件 中 创建 新 权限 的 语法 。 


3.1 权限 保护 等 级 


在 应 用 程序 层 ，Android 安全 是 基于 权限 的 。Android 系统 使 用 这 种 基于 权限 的 模型 
来 保护 系统 资源 ， 如 相机 、 蓝 牙 ， 以 及 诸如 文件 和 组 件 等 的 应 用 程序 资源 。 应 用 程序 应 
该 具有 操作 和 使 用 这 些 资源 的 权限 。 要 使 用 这 些 资源 的 任何 应 用 程序 需要 向 用 户 声明 它 
将 要 访问 这 些 资源 。 例 如 ， 如 果 应 用 程序 要 发 送 和 阅读 短信 ， 那 么 需要 在 清单 文件 中 声 
明 android.perm ission.SEND_SMS 和 android.permission.READ_SMS 。 

权限 也 是 应 用 程序 间 访 问 控制 的 有 效 方法 。 应 用 程序 的 清单 文件 当中 通常 都 会 包含 
权限 列表 。 和 希望 访问 这 个 应 用 程序 资源 的 任何 外 部 应 用 程序 应 该 具有 这 些 权 限 。 有 关 这 
部 分 内 容 将 在 第 4 章 中 更 详细 地 讨论 。 

所 有 Android 权限 均 在 Manifest.permission 类 中 声明 为 常量 。 然 而 ， 这 个 类 并 没有 提 
及 权限 的 类 型 。 这 可 以 用 来 检查 Android 源 代 码 。 笔 者 试图 在 以 下 部 分 列 出 一 些 权限 。 
权限 列表 根据 功能 不 断 变 化 着 ， 所 以 最 好 去 参阅 Android 源 代码 获得 最 新 的 权限 清单 。 
例如 ，android.permission BLUETOOTH 在 API level 1 已 存在 ， 但 是 android.permission 
AUTHENTICATE ACCOUNTS 被 加 入 到 API 5。 读 者 可 以 在 source.android.com 获取 
Android 源 代码 的 信息 。 
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所 有 Android 权限 均 在 4 个 保护 等 级 之 中 .任何 保护 等 级 的 权限 都 需要 在 清单 文件 中 


声明 。 


第 三 方 应 用 程序 只 能 使 用 保护 等 级 0 和 1 的 权限 。 这 些 保护 等 级 如 下 所 述 。 


口 “Normal 权限 : 在 这 个 等 级 (等 级 0) 的 权限 不 能 做 太 多 危害 用 户 的 事 。 它 们 一 


般 不 花费 用 户 的 钱 ， 但 是 它们 可 能 会 给 用 户 造成 某 些 烦恼 。 当 下 载 应 用 程序 时 
这 些 权限 可 以 通过 单 击 “ 查 看 全 部 (See All) ”箭头 进行 查看 。 这 些 权限 被 自 
动 地 授予 给 应 用 程序 。 例 如 ， 权 限 android permission.GET PACKAGE SIZE 和 
android permissionFLASHLIGHT 人 允许 应 用 程序 分 别 获取 任何 安装 包 的 大 小 和 访 
问 手电 简 。 


以 下 是 一 些 在 本 书写 作 时 期 存在 于 Android 系统 的 Normal 权限 列表 。 其 中 ， 用 于 设 


允许 


许 应 


置 用 户 首选 项 的 权限 包括 : 


> android.permission. EXPAND _ STATUS BAR 

> android.permission.KILL BACKGROUND PROCESSES 
android.permission.SET WALLPAPER 
android.permission.SET WALLPAPER HINTS 
android.permission.VIBRATE 
android.permission.DISABLE KEYGUARD 
android.permission.FLASHLIGHT 

户 访问 系统 或 者 应 用 程序 信息 的 权限 包括 : 
android.permission.ACCESS LOCATION EXTRA COMMANDS 
android.permission.ACCESS NETWORK STATE 
android.permission.ACCESS WIFI STATE 
android.permission. BATTERY STATS 
android.permission.GET ACCOUNTS 
android.permission.GET PACKAGE SIZE 
android.permission.READ SYNC SETTINGS 
android.permission.READ SYNC STATS 
android.permission.RECEIVE BOOT COMPLETED 

> android.permission.SUBSCRIBED FEEDS READ 
> android.permission.WRITE USER DICTIONARY 

用 户 应 当 谨 慎 请 求 的 权限 包括 android.permission.BROADCAST_STICKY， 该 权限 允 

用 程序 发 送 即 使 在 传递 Broadcast 后 仍 保持 存活 的 黏 性 Broadcast。 

口 “Dangerous 权限 : 在 这 个 保护 等 级 〈 等 级 1) 的 权限 总 是 对 用 户 可 见 。 授 予 应 用 
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型 YY 


vy 
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vy 


Android 应 


目 程 序 安全 


考 图 3-1， 在 图 片 当中 显示 适用 
示 的 Dangerous 权限 。 注 意 下 
序 请 求 的 所 有 权限 。 注 意 其 中 


程序 Dangerous 权限 允许 它们 访问 设备 功能 和 数据 .这 些 权 限 会 导致 用 
财务 损失 。 例 如 ， 授 予 Dangerous 权限 ， 如 android.permission.ACCESS FINE_ 
LOCATION 和 android permission. ACCESS_ COARSE LOCATION， 将 会 允许 应 


程序 访问 


户 的 位 置信 息 ; 如 果 应 


程序 不 需要 这 个 功能 ， 那 么 这 就 


户 隐 私 和 


会 引起 隐 


私 问题 ,同样 ,授予 应 用 程序 android.permission READ_SMS 和 android.permission 


SEND_SMS 权限 ， 将 


在 任意 给 定 的 位 置 上 ， 用 户 瑟 


的 Normal 权限 。 


Network communication 
Your personal information 


Your accounts 


Storage 


System tools 


Show all 


图 


以 下 是 一 些 在 本 书写 作 上 由 
一 些 Dangerous 权限 对 


以 


户 产 生 巨大 的 开销 。 例 如 : 


程序 可 以 使 


户 来 说 是 代价 晶 


Ct 许 应 用 程序 发 送 和 接收 短信 ， 这 也 会 引起 隐私 问题 。 
以 进入 设置 并 且 选 择 应 用 程序 来 查看 授予 的 权限 。 
于 Gmail 应 用 程序 的 权限 。 第 一 张 图 片 显示 总 是 向 用 户 显 


参 


仿 


拉 菜 单 按 钮 Show All (显示 全 部 ) 。 该 选项 显示 了 应 
的 Hardware controls〔( 硬 件 控 


Storage 


System tools 


© 


Hide 


Network communication 
Hardware controls 


Your accounts 


System tools 
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期 存在 于 Android 系统 的 Dangerous 权限 的 列表 。 
例如 , 发 送 短信 或 者 订阅 付费 资讯 的 


贵 的 。 


> android.permission.RECEIVE MMS 
> android.permission.RECEIVE SMS 


> android.permission.SEND SMS 


程 


制 ) 权限 和 默认 不 对 用 户 显示 
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> android.permission.SUBSCRIBED FEEDS WRITE 
能 改变 手机 状态 的 权限 包括 下 面 列 出 的 这 些 权 限 。 这 些 权限 应 该 谨慎 使 用 ， 因 为 它 

们 可 能 会 造成 系统 的 不 稳定 、 带 来 一 些 不 必要 的 麻烦 以 及 可 能 使 得 系统 变 得 更 不 安全 。 
例如 ， 挂 载 和 印 载 文件 系统 的 权限 可 以 改变 手机 状态 。 具 有 录音 权限 的 任何 恶意 应 用 程 
序 可 以 很 容易 地 将 手机 内 存 填 满 垃圾 语音 信息 。 

> android.permission.MODIFY AUDIO SETTINGS 

> android.permission MODIFY PHONE STATE 

> android.permission.MOUNT FORMAT FILESYSTEMS 

> android.permission.WAKE LOCK 

> android.permission.WRITE APN SETTINGS 
android.permission. WRITE CALENDAR 
android.permission. WRITE CONTACTS 
android.permission. WRITE EXTERNAL STORAGE 
android.permission.WRITE OWNER DATA 
android.permission. WRITE SETTINGS 
android.permission. WRITE SMS 
androld.permission.SET_ ALWAYS FINISH 
android.permission.SET ANIMATION SCALE 
android.permission.SET DEBUG APP 
android.permission.SET PROCESS LIMIT 

> android.permission.SET_ TIME ZONE 

android.permission.SIGNAL PERSISTENT PROCESSES 
> android.permission.SYSTEM.ALERT WINDOW 
一 些 Dangerous 权限 会 产生 隐私 泄露 的 风险 。 允许 用 户 阅 读 短信 、 日 志和 日 历 的 权限 

会 容易 被 僵尸 网 络 和 木马 所 利用 ， 使 得 远程 所 有 者 可 以 在 命令 窗口 当中 做 一 些 感 兴趣 的 
事情 。 


VV VV vvyvyYv 


vv 


> android.permission. MANAGE ACCOUNTS 
android.permission.MODIFY AUDIO SETTINGS 
android.permission.MODIFY_ PHONE STATE 
android.permission.MOUNT FORMAT FILESYSTEMS 
android.permission. MOUNT UNMOUNT FILESYSTEMS 
android.permission.PERSISTENT ACTIVITY 


Vv vvyYv 
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> android.permission.PROCESS OUTGOING CALLS 
> android.permission. READ CALENDAR 
> androidpermission.READ CONTACTS 
> android.permission.READ LOGS 
> android.permission. READ OWNER DATA 
> android.permission.READ PHONE STATE 
> android.permission.READ SMS 
> android.permission.READ URER DICTIONARY 
> android.permission.USE CREDENTIALS 

口 Signature 权限 : 在 这 个 保护 等 级 (等 级 2) 的 权限 允许 两 个 由 相同 开发 者 开发 的 
应 用 程序 访问 彼此 的 组 件 。 如 果 即 将 被 下 载 的 应 用 程序 与 声明 权限 的 应 用 程序 
具有 相同 的 证 书 ， 那 么 这 个 权限 被 自动 授予 该 应 用 程序 。 例 如 ， 应 用 程序 A 定 
义 了 权限 com.example permission.ACCESS_BOOK _ STORE。 应 用 程序 B 与 应 用 
程序 A 有 着 相同 的 证 书签 名 ， 应 用 程序 B 在 它 的 清单 文件 中 声明 了 该 权限 。 由 
于 应 用 程序 B 和 应 用 程序 A 具有 相同 的 证 书 ， 所 以 当 安 装 应 用 程序 B 时 ， 这 个 
权限 将 不 显示 给 用 户 。 用 户 当 然 可 以 使 用 See All 操作 来 查看 这 个 权限 。 应 用 程 
序 可 以 利用 这 组 权限 执行 真正 强大 的 操作 。 例 如 ， 应 用 程序 可 以 利用 android. 
permission.INJECT_ EVENTS 权限 向 任意 应 用 程序 注入 事件 ， 如 密 钥 、 触 摸 和 追 
踪 球 ， 并 且 利 用 android.permission. BROADCAST_SMS 权限 广播 短信 和 应答。 这 
个 由 Android 系统 定义 的 且 属 于 这 个 保护 组 的 权限 只 预 留 给 系统 应 用 程序 。 

在 这 个 等 级 的 一 些 权 限 允 许 应 用 程序 使 用 系统 级 的 功能 。 例 如 ，ACCOUNT_ 
MANAGER 权限 允许 应 用 程序 使 用 账户 认证 ，BRIK 权限 允许 应 用 程序 禁用 手机 。 以 下 
是 在 本 书写 作 期 间 Signature 权限 的 部 分 列表 。 要 获得 完整 参考 请 查看 Android 源 代码 或 
者 Manifest.permission 类 : 

> android.permission.ACCESS SURFACE FLINGER 

> android.permission.ACCOUNT MANAGER 

> android.permission.BRICK 

> android.permission.BIND INPUT METHOD 

> android.permission.SHUTDOWN 

> android.permission.SET ACTIVITY WATCHER 

> android.permission.SET ORIENTATION 
android.permission. HARDWARE TEST 
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android.permission.UPDATE DEVICE STATS 
android.permission.CLEAR APP USER _ DATA 
android.permission.COPY PROTECTED DATA 
android.permission.CHANGE 组 件 ENABLED STATE 
android.permission. FORCE BACK 
android.permission.INJECT_ EVENTS 
android.permission.INTERNAL SYSTEM WINDOW 
android.permission.MANAGE APP TOKENS 


该 等 级 的 某 些 权限 允许 应 用 程序 发 送 系统 级 的 Broadcast 和 Intent， 如 广播 Intent 和 
短信 。 这 些 权限 包括 : 


> 
> 


> 


android.permission.BROADCAST PACKAGE REMOVED 
android.permission.BROADCAST SMS 
android.permission.BROADCAST WAP PUSH 


该 等 级 的 一 些 其 他 权限 允许 应 用 程序 访问 第 三 方 应 用 程序 所 没有 的 系统 级 数据 。 这 


些 权限 包括 : 


> 


v 


android.permission.PACKAGE USAGE STATS 
android.permission.CHANGE BACKGROUND DATA SETTING 
android.permission.BIND DEVICE ADMIN 
android.permission.READ FRAME BUFFER 
android.permission.DEVICE POWER 
android.permission.DIAGNOSTIC 

android.permission. FACTORY TEST 
android.permission. FORCE STOP PACKAGES 
android.permission.GROBAL SEARCH CONTROL 


口 ”SignatureOrSystem 权限 : 与 Signature 保护 等 级 一 样 ， 这 个 权限 被 授予 具有 与 定 
义 权限 的 应 用 程序 相同 证 书 的 应 用 程序 。 此 外 ， 这 个 保护 等 级 包括 具有 与 
Android 系统 映像 相同 证 书 的 应 用 程序 。 该 权限 等 级 主要 用 于 由 手机 制造 商 、 运 
营 商 和 系统 应 用 程序 创建 的 应 用 程序 ， 其 他 第 三 方 应 用 程序 则 不 允许 这 些 权 限 。 
这 些 权 限 允 许 应 用 程序 执行 一 些 非常 强大 的 功能 。 例 如 ，android.permission. 
REBOOT 权限 允许 应 用 程序 重启 设备 ，android.permission.SET_TIME 权限 允许 
应 用 程序 设置 系统 时 间 。 

在 本 书写 作 时 期 存在 的 一 些 SignatureOrSystem 权限 列表 如 下 : 
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android.permission.ACCESS CHECKIN PROPERTIES 
android.permission. BACKUP 

android.permission.BIND APPWIDGET 
android.permission.BIND WALLPAPER 
android.permission.CALL PRIVILEGED 
android.permission.CONTROL LOCATION UPDATES 
android.permission. DELETE CACHE FILES 
android.permission.DELETE PACKAGES 
android.permission.GLOBAL SEARCH 
android.permission.INSTALL LOCATION PROVIDER 
android.permission.INSTALL PACKAGES 
android.permission.MASTER CLEAR 
android.permission.REBOOT 
android.permission.SET_TIME 
android.permission.STATUS BAR 
android.permission. WRITE GSERVICES 
android.permission. WRITE SECURE SETTINGS 


2 应 用 程序 级 权限 


向 应 用 程序 请 求 权 限 有 两 种 方式 。 第 一 ， 应 用 程序 声明 其 为 了 正常 运行 所 请 求 的 权 


限 。 例 如 ， 即 将 发 送 短信 的 应 月 


程序 将 在 清单 文件 中 声明 这 样 的 权限 。 第 三 ， 应 用 程序 


可 以 声明 试图 与 其 交互 的 其 他 应 用 程序 应 该 具有 的 权限 。 例 如 ， 应 用 程序 可 以 声明 任何 


希望 与 它 的 组 件 之 一 交互 的 应 月 


上 程序 应 该 具有 访问 相机 的 权限 。 这 些 类 型 的 权限 必须 在 


清单 文件 中 声明 。 下 面 逐 一 进行 解释 。 

<uses-permission> 标 签 在 <manifes 人 标签 内 声明 ， 并 声明 了 应 用 程序 为 其 能 够 正常 运 
行 所 应 该 请 求 的 权限 。 该 标签 的 语法 如 下 : 

<uses-permission android:name=" " /> 

用 户 下 载 应 用 程序 时 ， 必 须 接 受 这 些 权限 。android:name 是 权限 名 称 。 一 个 声明 该 标 
签 的 例子 如 下 所 示 。 以 下 权限 声明 用 户 即将 安装 的 应 用 程序 将 会 访问 用 户 的 短信 : 


<uses-permission android:name="android.permission.READ SMS" /> 
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<application> 标 签 当中 有 个 名 为 android:permission 的 属性 , 该 属性 为 组 件 声明 通用 权 
限 。 这 些 权限 所 代表 的 是 那些 试图 与 这 个 应 用 程序 组 件 交 互 的 任何 应 用 程序 需要 具有 的 
权限 。 以 下 代码 显示 了 与 MyApplication 组 件 交互 的 应 用 程序 应 该 具有 访问 相机 的 权限 : 


<application android:name="MyApplication" android:icon="@drawable/ 
icon" android:label="@string/app name""android.permission.CAMERA"/> 


在 接 下 来 的 内 容 当 中 将 会 讲述 到 单个 组 件 也 可 以 设置 权限 。 组 件 权 限 将 会 使 用 
<application> 标 签 去 覆盖 权限 。 前 面 所 叙述 的 方法 是 为 所 有 组 件 声明 通用 权限 时 的 最 佳 
方法 。 

3.3 ”组件 级 权限 


使 用 该 权限 可 以 保护 所 有 Android 组 件 ， 如 图 3-2 所 示 。 


Has Permission Activity 
Activity 


No Permission Activity 


Application A Application B 
Permission Boundary 


图 3-2 
接 下 来 将 会 讲述 每 个 组 件 的 权限 相关 声明 和 执行 过 程 。 


3.3.1 Activity 


任何 Activity 都 可 以 受到 权限 的 保护 ， 这 可 以 通过 调用 在 <activity> 标 签 中 的 Activity 
声明 的 权限 。 例 如 ， 一 个 具有 com.example.projecLORDER BOOK 自 定义 权限 的 
OrderActivity 声明 如 下 所 示 ， 任 何 试图 启动 OrderActivity 的 组 件 都 需要 具有 这 个 自 定 义 
权限 。 


<activity android:name=".OrderActivity" android:permission="com. 
example.project .ORDER BOOK" android:exported="false"/> 
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就 Activity 来 说 ， 通 过 使 用 Context.startActivity() 和 Context startActivityForResult( 方 
法 能 够 让 权限 在 启动 Activity 时 开始 执行 。 一 旦 组 件 启 动 时 没有 拥有 适当 的 权限 , 则 会 抛 
出 SecurityException 异常 。 


3.3.2 Service 


任何 Service 都 可 以 通过 在 <service> 标 签 列 出 需要 的 权限 以 得 到 权限 的 保护 。 例 如 ， 
识别 基于 关键 字 的 短信 的 FindUsefulSMS Service 声明 了 android.permission.READ _SMS。 
该 权限 的 声明 如 下 所 示 ， 任 何 试图 启动 FindUsefulSMS 的 组 件 都 需要 具有 这 个 权限 。 
<service android:name=".FindUsefulSMS" android:enabled="true" 


android:permission="android.permission.READ SMS"> 
</service> 


Service 的 权限 执行 在 使 用 Context.startService() 启 动 Service 时 完成 。 使 用 Context. 
stopService() 停 止 Service， 使 用 ContextbindService0) 绑 定 到 Service。 一 旦 请 求 组 件 时 没 
有 拥有 适当 的 权限 ， 则 会 抛 出 securityException 异常 。 

如 果 Service 公开 其 他 应 用 程序 可 以 绑 定 的 绑 定 接口 , 那么 当 使 用 Context.checkCalling 
Permission0) 绑 定 到 绑 定 者 (binder) 时 ， 调 用 者 〈caller) 权限 则 可 以 被 查看 。 


3.3.3 Content Provider 


可 以 利用 在 <provider> 标 签 中 指定 的 权限 保护 Content Provider 的 安全 。 在 下 面 的 这 
个 例子 当中 ， 任 意 需要 与 Provider 通信 的 组 件 都 应 该 具有 android.permission.READ_SMS 
权限 。 
<provider 
android:authorities="com.example.android.books.contentprovider" 
android:name=".contentprovider.MyBooksdoContentProvider" 


android:grantUriPermissions="true" 
android:Permission="android.permission.READ CALENDAR"/> 


正如 在 第 2 章 中 所 讨论 的 一 样 ，<provider> 标 签 也 具有 细 粒 度 的 读 和 写 权 限 属性 。 为 
了 能 够 读 取 <provider> 标 签 ， 应 用 程序 应 该 具有 读 权限 ,这 将 会 在 ContentResolver.query() 
中 进行 检查 。 为 了 能 够 更 新 、 删 除 和 插入 Provider， 组 件 应 该 具有 读 和 写 权限 ， 这 些 权限 
在 ContentResolver.insert()、ContentResolver.update() 和 ContentResolver.delete() 当 中 进行 检 
查 。 未 能 具有 适当 权限 将 导致 调用 者 抛 出 securityException 异常 。 
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<grant-uri-permission> 标 签 是 <provider> 的 子 标签 ， 它 被 用 于 在 有 限时 间 里 授权 访问 
一 些 特定 的 Provider 数据 集 。 考 虑 这 样 一 个 应 用 程序 保存 短信 到 数据 库 的 例子 。 这 当中 
的 一 些 短信 可 能 有 附加 的 照片 。 为 了 使 应 用 程序 能 够 正确 查看 这 些 短信 将 会 启动 图 像 查 
看 器 ， 该 查看 器 有 可 能 不 能 为 Provider 所 访问 。URI (Universal Resource Identifier) 权限 
将 允许 图 像 查看 器 具有 对 特定 图 像 的 读 权限 。 在 前 面 的 例子 中 ，Provider 设置 android: 
grantIriPermission="true"， 图 像 查看 器 将 具有 对 全 部 Provider 的 读 权限 。 这 将 带 来 一 定 的 
安全 风险 。 为 了 给 予 有 限 的 访问 , Provider 可 以 声明 希望 对 URI 权限 开放 的 部 分 Provider。 

该 URI 权限 的 语法 如 下 : 

<grant-uri-permission android:path="string" 


android:pathPattern="string" 
android:pathPrefix="string" /> 


注意 : URI 权 限 是 非 递归 的 
最 有 趣 的 是 可 以 使 用 通配符 和 模式 去 定义 哪些 Provider 能 够 执行 URI 权限 ， 如 下 
所 示 : 


<grant-uri-permission android:pathPattern="/picture/" /> 


一 旦 使 用 Context.revokeUriPermission() 完 成 任务 ， 切 记 要 吊销 URI 权限。 


3.3.4 Broadcast Receiver 


利用 权限 保护 Broadcast 有 两 种 方法 。 第 一 ，Receiver 利用 权限 保护 自身 ， 所 以 它 只 
接收 它 希 望 监听 的 Broadcast; 第 二 ，Broadcaster 选择 可 以 接收 Broadcast 的 Receiver。 关 
于 这 部 分 内 容 的 详细 信息 将 在 随后 进行 讨论 。 

任何 Receiver 可 以 通过 调用 在 <receiver> 标 签 中 的 Receiver 声明 的 权限 受到 保护 。 例 
如 ，MyListener Receiver 声明 android.permission.READ_SMS 权限 ， 其 权限 声明 代码 如 下 
所 示 。 此 时 ，MyListener 将 会 只 从 具有 android.permission.READ_SMS 权限 的 Broadcaster 
接收 Broadcast。 


<receiver android:name=" .MYListener" 
android:permission="android.permission.READ SMS"> 
<intent-filter> 
<action android:name= 
"android.provider.Telephony.SMS RECEIVED" /> 
</intent-filter> 
</receiver> 
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提示 : 夭 性 Broadcast 不 受权 限 保护 。 


接收 Broadcast 所 需 的 权限 在 传递 Broadcast Intent 后 检查 , 即 在 Context.sendBroadcastO 
调用 返回 之 后 。 所 以 ， 如 果 Broadcaster 没有 适当 的 权限 将 不 会 抛 出 异常 ， 只 是 这 样 将 不 
会 传递 Broadcast。 如 果 使 用 ContextregisterReceiver(0) 动 态 创建 Receiver， 那 么 在 创建 
Receiver 时 可 以 设置 权限 。 

在 第 二 种 情况 下 , Broadcaster 限制 Receiver 所 能 接收 的 Intent 可 以 使 用 sendBroadcast() 
方法 完成 。 下 面 的 这 个 例子 展示 的 是 只 被 发 送 到 具有 android.permission.READ_SMS 权限 
的 应 用 程序 的 Broadcast。 


Intent intent = new Intent(); 
intent.setAction (MY BROADCAST ACTION); 
sendBroadcast (intent, "android.provider.Telephony.SMS RECEIVED"); 
注意 : 与 组 件 一 起 声明 的 权限 将 不 会 授权 给 应 用 程序 。 这 些 权 限 最 终 将 授予 那些 包含 试 
图 与 之 进行 交互 的 组 件 的 应 用 程序 


3.4 扩展 Android 权限 


开发 者 可 以 通过 添加 他 们 自己 的 权限 来 对 权限 系统 进行 扩展 。 这 些 权 限 将 在 应 用 程 
序 下 载 期 间 显示 给 用 户 ， 所 以 重要 的 是 保证 它们 能 够 得 到 适当 的 本 地 化 和 标签 信息 。 


3.4.1 添加 新 的 权限 


开发 者 可 以 选择 只 添加 新 权限 或 者 是 添加 整个 权限 树 。 声 明 新 权限 在 清单 文件 中 完 
成 。 要 添加 新 权限 ， 应 用 程序 可 以 使 用 <permission> 标 签 声 明 ， 如 以 下 代码 段 所 示 : 


<permission android:name="string" 
android:description="string resource" 
android:icon="drawable resource" 
android:label="string resource" 
android:permissionGroup="string" 
android:protectionLevel=["normal" | "dangerous" | 
"signature" | "signatureOrSystem"] /> 


上 述 代码 段 中 为 新 权限 组 所 使 用 的 属性 描述 如 下 。 
口 android:name: 所 要 声明 的 新 权限 的 名 称 。 
口 android:description: 所 要 声明 的 新 权限 的 详细 描述 
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口 


口 


口 


android:icon: 权限 图 标 。 

android:label: 在 安装 时 显示 给 用 户 的 标签 。 

android:permissionGroup: 分 配 权限 给 既 有 的 用 户 定 义 组 或 新 组 。 如 果 没 有 指定 
名 称 ， 权 限 不 属于 任何 组 。 后 续 部 分 当中 将 会 讨论 如 何 创建 权限 组 。 
android:protectionLevel: 指定 新 权限 的 保护 等 级 。 这 些 保护 等 级 已 在 本 章 当 中 讨 
论 过 。 


下 面 是 一 个 实际 的 例子 : 


<permission android:name="com.example.android.book.READ BOOKSTORE" 


android:description="@string/perm read bookstore" 
android:label="Read access to books database" 
android:permissionGroup="BOOKSTORE PERMS" 
android:protectionLevel="dangerous"/> 


为 了 更 好 地 服务 于 本 地 化 和 维护 操作 ， 推 荐 使 用 字符 串 资 源 。 
在 声明 一 个 新 权限 时 ， 请 确保 在 <uses-permission> 标 签 中 对 它 进行 声明 。 


3.4.2 


创建 权限 组 


使 


和 <permission-group> 标 签 可 以 创建 权限 组 。 这 是 权限 的 逻辑 分 组 ， 当 向 用 户 展示 


这 些 权限 时 ， 它 们 作为 整体 一 起 展示 。 创 建 权限 组 语法 如 下 : 


<permission-group android:name="string" 


android:description="string resource" 
android:icon="drawable resource" 
android:label="string resource" /> 


上 述 代码 段 中 创建 新 权限 组 所 使 用 的 属性 描述 如 下 。 


田 | 


口 口 口 


android:name: 新 的 权限 组 的 名 称 ， 该 名 称 类 似 于 之 前 在 <permission> 标 签 中 提 
到 的 名 称 。 

android:description: 所 声明 的 新 权限 组 的 详细 描述 。 

android:icon: 权限 组 图 标 。 

android:label: 安装 时 显示 的 标签 。 


例如 ， 创 建 具有 书店 权限 的 权限 组 定义 如 下 : 


<permission-group android:description="@string/perm group bookstore" 


android:label="@string/perm group bookstore label" 
android:name="BOOKSTORE PERMS" /> 
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3.4.3 创建 权限 树 


如 果 需 要 权限 像 命 名 空间 那样 进行 排列 ， 可 以 创建 权限 树 ， 应 用 程序 可 以 声明 
<permission-tree> 标 签 。 有 关 权 限 树 的 例子 如 下 : 
com.example.android.book 
com.example.android.book.READ BOOK 
com.example.android.book.bookstore.READ BOOKSTORE 
com.example.android.book.bookstore.WRITE BOOKSTORE 
这 个 标签 不 定义 任何 新 权限 ， 它 只 为 组 权限 创建 命名 空间 。 笔 者 在 这 里 需要 指出 ， 
该 理念 被 一 些 开 发 者 所 使 用 ， 这 些 开发 者 通常 拥有 多 个 应 用 程序 ， 并 且 所 有 应 用 程序 之 
间 都 需要 进行 相互 通信 。<permission-tree> 标 签 可 以 按照 如 下 方式 进行 定义 : 
<permission-tree android:name="string" 
android:icon="drawable resource" 
android:label="string resource" /> 
上 述 代码 段 中 创建 新 权限 树 所 使 用 的 属性 描述 如 下 。 
口 android:name: 新 权限 树 的 名 称 。 该 名 称 应 该 有 至 少 3 个 被 句点 (.) 隔 开 的 部 分 ， 
例如 ，com.example.android 是 正确 的 ， 而 com.example 则 是 错误 的 。 
口 android:icon: 权限 树 图 标 。 
口 android:label: 安装 时 显示 给 用 户 的 标签 。 
例如 : 


<permission-tree android:name="com.example.android.book" 
android:label="@string/perm tree book" /> 


3.5: 沙 结 


权限 是 Android 应 用 程序 安全 性 的 核心 。 本章 详 细 地 讲述 了 有 关 权 限 的 内 容 , 学 习 了 
4 个 权限 保护 等 级 、 如 何 利用 权限 保护 组 件 以 及 如 何 定义 新 权限 。 对 权限 模型 的 认 知 和 理 
解 对 开发 者 和 Android 手机 的 用 户 来 说 都 是 至 关 重 要 的 。 在 学 习 了 组 件 、 组 件 间 通 信和 权 
限 的 相关 知识 之 后 ， 接 下 来 将 要 进入 第 4 章 的 内 容 ， 学 习 如 何 定义 应 用 程序 的 策略 文件 。 
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本 章 将 会 汇集 所 有 到 目前 为 止 所 学 习 的 内 容 。 在 这 里 将 会 使 用 应 用 程序 组 件 、 
Intent 以 及 权限 ， 并 且 把 它们 放 在 一 起 来 定义 应 用 程序 策略 文件 。 该 策略 文件 名 为 
AndroidManifestXml， 它 是 截至 目前 为 止 最 为 重要 的 应 用 程序 文件 。 正 如 读者 所 看 到 的 
那样 ， 该 文件 是 为 应 用 程序 和 组 件 定 义 访问 控制 策略 的 “场所 ”， 该 文件 也 可 用 来 定义 
应 用 程序 和 Android 系统 将 用 来 与 应 用 程序 交互 的 组 件 等 级 特性 。 

本 章 将 从 对 AndroidManifest.xml 文件 的 讨论 开始 , 讲述 两 个 重要 的 标签 : <manifest> 
和 <application>， 这 两 个 标签 截至 目前 还 没有 进行 过 讨论 。 随 后 ， 将 会 讨论 能 够 在 清单 文 
件 (manifest) 当中 执行 的 一 些 操作 ， 如 声明 权限 、 与 其 他 应 用 程序 共享 进程 、 外 部 存储 
以 及 管理 组 件 可 见 性 。 在 本 章 最 后 ， 将 会 讨论 在 发 布 应 用 程序 之 前 的 策略 文件 检查 清单 。 
读者 可 以 根据 所 使 用 的 实际 情况 对 该 检查 清单 进行 修订 。 一 旦 拥有 这 样 一 个 比较 全 面 的 
清单 ， 那 么 最 后 在 每 次 发 布 新 版 本 时 都 可 以 参考 它 。 


4.1 AndroidManifest.xml 文 件 


所 有 Android 应 用 程序 都 需要 有 清单 文件 。 该 文件 必须 命名 为 AndroidManifest.xml 
且 必 须 放 置 于 应 用 程序 的 根 目录 当中 。 这 个 清单 文件 就 是 应 用 程序 的 策略 文件 。 它 声明 
了 应 用 程序 组 件 、 可 见 性 、 访 问 规则 、 库 、 功 能 特性 以 及 应 用 程序 能 够 正常 运行 的 最 低 
Android 版 本 。 

Android 系统 使 用 清单 文件 作为 组 件 解决 方案 。 因 此 ，AndroidManifestxml 文件 在 整 
个 应 用 程序 中 是 迄今 为 止 最 重要 的 文件 ， 当 定义 它 来 试图 加 强 应 用 程序 的 安全 性 时 需要 
特别 谨慎 。 

清单 文件 不 是 可 扩展 的 ， 所 以 应 用 程序 不 能 向 该 文件 添加 自身 的 属性 或 标签 。 完 整 
的 可 以 嵌 套 的 标签 列表 如 下 : 

<uses-sdk><?xm] version="1.0" encoding="utf-8"?> 

<manifest> 


<uses-permission /> 
<permission /> 
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<permission-tree /> 
<permission-group /> 
<instrumentation /> 
<uses-sdk /> 
<uses-configuration /> 
<uses-feature /> 
<supports-screens /> 
<compatible-screens /> 
<supports-gl-texture /> 
<application> 
<activity> 
<intent-filter> 
<action /> 
<category /> 
<data /> 
</intent-filter> 
<meta-data /> 
</activity> 
<activity-alias> 
<intent-filter> </intent-filter> 
<meta-data /> 
</activity-alias> 
<service> 
<intent-filter> </intent-filter> 
<meta-data/> 
</service> 
<receiver> 
<intent-filter> </intent-filter> 
<meta-data /> 
</receiver> 
<provider> 
<grant-uri-permission /> 
<meta-data /> 
<path-permission /> 
</provider> 
<uses-library /> 
</application> 
</manifest> 


上 述 代码 中 所 涉及 的 大 部 分 标签 在 前 面 章节 中 已 经 有 所 涉及 。 在 这 些 标签 当中 ， 
只 有 <manifest> 和 <application> 这 两 个 标签 是 必需 的 标签 。 其 中 所 声明 组 件 没 有 特定 的 
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顺序 。 


<manifest> 标 签 负责 声明 应 用 程序 特定 属性 。 其 声明 如 下 : 


<manifest xmlns:android="http://schemas.android. 


com/apk/res/android" 
package="string" 
android:sharedUserId="string" 
android:sharedUserLabel="string resource" 
android:versionCode="integer" 
android:versionName="string" 
android:installLocation=["auto" | "internalOnly" | 

"preferExternal"] > 


</manifest> 


下 面 的 代码 片段 是 一 个 使 用 <manifes 必 标签 的 例子 。 在 这 个 例子 当中 ， 软 件 包 被 命名 
为 com.android. example， 其 内 部 版 本 为 10， 用 户 能 够 看 到 的 外 部 版 本 是 2.7.0。 基 于 有 空 
间 即 可 存储 应 用 的 原则 ， 该 软件 包 的 安装 位 置 是 由 Android 系统 所 决定 的 。 


<manifest package="com.android.example" 


android:versionCode="10" 

android:versionName="2.7.0" 

android:installLocation="auto" 
xmlns:android="http://schemas.android.com/apk/res/android"> 


<manifes 人 标签 所 包含 的 属性 如 下 。 


口 


package: 软件 包 的 名 称 。 这 是 应 用 程序 的 Java 风格 命名 空间 , 例如 com.android. 

example。 该 名 称 是 应 用 程序 的 唯一 ID。 如 果 改 变 了 已 发 布 的 应 用 程序 的 名 称 ， 

那么 它 会 被 认为 是 一 个 新 的 应 用 程序 并 且 自 动 更 新 将 不 能 正常 运行 。 

android:sharedUserId: 如 果 两 个 或 更 多 的 应 用 程序 共享 相同 的 Linux ID， 则 使 用 

该 属性 。 关 于 该 属性 的 详细 讨论 将 在 随后 的 部 分 进行 。 

android:sharedUserLabel: 共享 用 户 ID 的 用 户 可 读 名 称 ,， 只 在 设置 android:shared 

UserId 属性 后 才 会 有 效 。 该 属性 必须 作为 字符 串 资源 。 

android:versionCode: 内 部 使 用 的 由 应 用 程序 跟踪 修正 的 版 本 代码 。 当 应 用 程序 

升级 为 更 新 版 本 时 会 引用 该 代码 。 

android:versionName: 显示 给 用 户 的 应 用 程序 版 本 。 它 可 以 设置 为 原始 字符 串 
(raw string) 或 者 作为 引用 ， 仅 用 于 显示 给 用 户 。 

android:installLocation: 该 属性 定义 了 APK 将 要 安装 的 位 置 。 在 本 章 后 续 部 分 将 


也 
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详细 讨论 这 个 属性 。 
应 用 程序 标签 定义 如 下 : 


<application android:allowTaskReparenting=["true" | 


android:backupAgent="string" 
android:debuggable=["true" | "false"] 
android:description="string resource" 
"false"] 
"false"] 


android:hardwareAccelerated=["true" | 


android:enabled=["true" | 
android:hasCode=["true" | 


android:icon="drawable resource" 
android:killAfterRestore=["true" | 
android:largeHeap=["true" | "false"] 
android:1label="string resource" 
android:logo="drawable resource" 
android:manageSpaceActivity="string" 
android:name="string" 
android:permission="string" 
android:persistent=["true" | 
android:process="string" 
android:restoreAnyVersion=["true" | 
android:supportsRt1= "false"] 
android:taskAffinity="string" 
android:theme="resource or theme" 
android:uiOptions=["none" | 
"splitActionBarWhenNarrow"] > 


"false"] 


"true" | 


</application> 


"false"] 


"false"] 


"false"] 


"false"] 


<application> 标 签 的 例子 如 以 下 代码 段 所 示 。 在 本 例 中 , 设置 了 应 上 
图 标 和 标签 。 


<application android:label="@string/app_name" 
android:description="@string/app_desc" 
android:icon="@drawable/example_ icon" 
android:enabled="true" 
android:debuggable="false"> 
</application> 


程序 名 称 、 描述 、 


同时 ， 设 置 应 用 程序 是 不 可 调试 的 ， 且 Android 系统 能 够 实例 化 组 件 。 


许多 <application> 标 签 的 属性 作为 在 应 用 程序 内 部 声明 的 组 件 的 默认 值 。 这 些 标签 包 
含 permission、process、icon 以 及 label。 其 他 属性 如 debuggable 和 enabled 为 整个 应 用 程 


序 设 置 。<application> 标 签 的 属性 如 下 。 
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android:allowTaskReparenting: 该 值 可 以 被 <activity> 元 素 所 覆盖 。 该 属性 用 于 设 
定 Activity 能 够 从 启动 它 的 任务 中 转移 到 另 一 个 与 启动 它 的 任务 有 亲缘 关系 的 
任务 中 ， 转 移 时 机 是 在 这 个 有 亲缘 关系 的 任务 被 带 到 前 台 的 时 候 。 
android:backupAgent: 应 用 程序 备份 代理 的 名 称 。 

android:debuggable: 该 属性 设置 为 true 时 人 允许 调试 应 用 程序 。 该 值 在 应 用 市 场 
发 布 该 应 用 程序 之 前 应 该 一 直 设 置 为 false。 

android:description: 应 用 程序 的 用 户 可 读 描述 , 通常 被 设置 作为 字符 串 资源 的 引用 。 
android:enabled: 该 属性 如 果 设 置 为 tue， 那 么 Android 系统 可 以 实例 化 应 用 程 
序 组 件 。 该 属性 可 以 被 组 件 所 覆盖 。 

android:hasCode: 该 属性 如 果 设 置 为 rue， 意味 着 在 启动 组 件 时 ， 应 用 程序 将 尝 
试 加 载 某 些 代码 。 

android:hardwareAccelerated: 当 该 属性 设置 为 true 时 允许 应 用 程序 支持 硬件 加 
速 演 染 。 在 API level 11 被 引入 。 

android:icon: 应 用 程序 图 标 ， 作 为 drawable 资源 的 引用 。 
android:killAfterRestore: 该 属性 如 果 设 置 为 tue， 在 全 系统 (full-system) 还 原 
期 间 一 旦 设置 被 还 原 ， 应 用 程序 将 会 被 终止 。 

android:largeHeap: 这 个 属性 允许 Android 系统 为 应 用 程序 创建 一 个 大 Dalvik 堆 
并 增加 应 用 程序 内 存 覆 盖 区 ， 所 以 应 该 谨慎 使 用 。 

android:label: 应 用 程序 的 用 户 可 读 标签 。 

android:logo: 应 用 程序 的 logo。 

android:manageSpaceActivity: 该 属性 值 是 管理 应 用 程序 内 存 的 Activity 的 名 称 。 
android:name: 该 属性 包含 了 在 启动 其 他 组 件 之 前 将 被 实例 化 的 子 类 的 完全 限定 
名 称 。 

android:permission: 该 属性 可 以 被 组 件 锁 覆 盖 , 用 于 设置 客户 端 必 须 与 应 用 程序 
交互 的 权限 。 

android:persistent: 该 属性 通常 被 系统 应 用 程序 使 用 ， 人 允许 应 用 程序 一 直 运 行 。 
android:process: 这 是 组 件 运行 的 进程 名 称 。 它 可 以 被 任何 组 件 的 android:process 
属性 覆盖 。 

android:restoreAnyVersion: 该 属性 允许 备份 代理 尝试 恢复 ， 即 使 当前 存储 的 备 
份 比 现在 尝试 恢复 的 版 本 还 要 新 。 

android:supportsRtl: 当 该 属性 设置 为 true 时 , 支持 从 右 至 左 的 布局 。 在 API level 
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17 当中 被 引入 。 
口 “android:taskAffinity: 这 个 属性 除非 被 Activity 显 式 设置 ， 否 则 允许 所 有 Activity 
与 包 名 称 有 关联 。 
口 ” android:theme: 应 用 程序 样式 资源 的 应 用 。 
口 android:uiOption: 如 果 该 属性 设置 为 none， 则 没有 附加 的 UI 选 项, 如 果 设 置 为 
splitActionBarWhenNarrow， 那 么 当 屏幕 范围 有 所 限制 时 ， 则 bar 将 被 设置 在 底部 。 
接 下 来 的 部 分 将 讨论 如 何 使 用 策略 文件 来 满足 特定 的 要 求 。 


4.2 应 用 程序 策略 用 例 


本 节 将 讨论 如 何 使 用 清单 文件 定义 应 用 程序 策略 。 在 此 之 前 ， 已 经 使 用 过 这 些 用 例 
并 且 将 讨论 如 何在 策略 文件 实现 这 些 用例 。 


4.2.1 声明 应 用 程序 权限 


在 Android 平台 上 的 应 用 程序 为 了 正常 运行 必须 要 去 声明 它 想 要 使 用 的 资源 ,这 就 是 
当 应 用 程序 下 载 时 显示 给 用 户 的 权限 。 正 如 在 第 3 章 当 中 所 讨论 的 一 样 ， 应 用 程序 也 可 
以 定义 一 些 自 定义 的 权限 。 应 用 程序 权限 应 该 是 描述 性 的 ， 以 便 用 户 能 够 正确 理解 。 同 
时 ， 作 为 一 般 的 安全 规则 ， 请 求 所 需 的 最 小 权限 是 非常 重要 的 。 
在 清单 文件 中 使 用 <uses-permission> 标 签 声明 应 用 程序 权限 。 下 面 的 这 个 代码 段 当 中 
演示 了 使 用 GPS 来 获取 位 置信 息 的 基于 位 置 的 清单 文件 ， 如 下 所 示 : 
<uses-permissionandroid:name="android. 
permission.ACCESS COARSE LOCATION" /> 
<uses-permissionandroid:name="android. 
permission.ACCESS FINE LOCATION" /> 
<uses-permissionandroid:name="android. 
permission.ACCESS LOCATION EXTRA COMMANDS" /> 
<uses-permissionandroid:name="android. 
permission.ACCESS MOCK LOCATION" /> 
<uses-permissionandroid:name="android.permission.INTERNET" /> 
当 应 用 程序 安装 时 ， 将 会 给 用 户 显示 这 些 权 限 可 以 通过 应 用 程序 下 的 设置 菜单 来 查 
看 这 些 权 限 ， 如 图 4-1 所 示 。 
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HO al TE 9:24 pM 


Launch by default 


Permissions 


Your location 


Network communication 


Hide [wv) 


® Your location 


图 4-1 
4.2.2 ”为 外 部 应 用 程序 声明 权限 


清单 文件 也 声明 外 部 应 用 程序 不 使 用 相同 Linux ID ) 需要 访问 应 用 程序 组 件 的 权 
限 。 这 可 以 在 策略 文件 当中 的 两 个 位 置 之 一 进行 设置 : 在 <application> 标 签 ， 或 者 是 组 件 
在 <activity>、<provider>、<receiver> 和 <service> 标 签 。 

如 果 具 有 应 用 程序 的 所 有 组 件 需 要 的 权限 , 那么 可 以 很 容易 在 <application> 标 签 中 指 
定 它们 。 如 果 组 件 需 要 某 些 特定 的 权限 ， 那 么 可 以 在 特定 的 组 件 标签 中 定义 它们 。 记 住 ， 
只 有 一 个 权限 可 以 在 任何 标签 中 声明 。 如 果 组 件 被 权限 保护 ， 那 么 组 件 权限 覆盖 在 
<application> 标 签 中 声明 的 权限 。 

下 面 的 这 段 代 码 所 展示 的 是 一 个 需要 外 部 应 用 程序 具有 android.permission.ACCESS_ 
COARSE LOCATION 权限 去 访问 它 的 组 件 和 资源 的 应 用 程序 的 例子 。 


<application 
android:allowBackup="true" 
android:icon="@drawable/ic launcher" 
android:1label="@string/app name™" 


。52 。 Android 应 用 程序 安全 


android:permission="android. 
permission.ACCESS COARSE LOCATION"> 


如 果 一 个 Service 需要 访问 它 的 任何 应 用 程序 组 件 应 该 能 够 访问 外 部 存储 器 ， 那么 可 
以 定义 如 下 : 

<service android:enabled="true" 

android:name=" .MyService" 
android:permission="android. 
permission.WRITE EXTERNAL STORAGE"> 

</service> 

如 果 策略 文件 具有 所 有 前 述 的 标签 ， 那么 当 外 部 组 件 请 求 这 个 Service 时 ， 它 应 该 具 
有 android.permission.WRITE EXTERNAL STORAGE 权限 ， 因 为 这 个 组 件 将 覆盖 由 应 用 
程序 标签 声明 的 权限 。 


4.2.3 使 用 相同 Linux ID 运行 的 应 用 程序 


在 应 用 程序 间 共 享 数 据 总 是 比较 环 手 的 一 个 事件 。 维 护 数据 机 密 性 和 完整 性 并 不 像 
想象 中 容易 。 适 当 的 访问 控制 机 制 必须 被 放置 在 适当 的 位 置 ， 该 位 置 会 基于 谁 有 权 访 问 
多 少数 据 的 信息 来 进行 选择 。 本 节 将 讨论 如 何 与 内 部 应 用 程序 (由 相同 开发 者 密 钥 签名 ) 
共享 应 用 程序 数据 。 

Android 是 一 个 分 层 架 构 ， 应 用 程序 被 操作 系统 本 身 执行 隔离 。 不 论 何 时 在 Android 
设备 上 安装 应 用 程序 ，Android 系统 都 会 给 它 一 个 唯一 的 由 系统 定义 的 用 户 ID。 请 注意 
图 4-2 当中 的 两 个 应 用 程序 , 即 examplel 和 example2, 是 作为 单独 用 户 ID app 49 和 app_50 
运行 的 应 用 程序 。 


platform-tools 一 adb 一 80x9 
159244 31992 11111111 499113c@ S com.android.quicksearchbo 


157524 32428 11111111 499113cB 5 com.exanple.examplel 
324 “803d800 4000d284 S /system/bin/sh 


348 ”<c6099f1c 400107b4 S logcat 
84 S /system/bin/sh 
159028 33872 ffffffff 400113c0 S com.example.example2 
966 348 。” 90090009 40019458 R ps 


图 4-2 
不 过 ， 应 用 程序 可 以 向 系统 请 求 选择 的 用 户 ID， 其 他 的 应 用 程序 也 可 以 请 求 相同 的 


j 户 ID。 这 将 创建 紧密 的 结合 并 且 不 需要 组 件 对 其 他 应 用 程序 可 见 或 者 创建 共享 Content 
Provider。 这 种 紧密 的 结合 在 所 有 要 在 相同 进程 中 运行 的 应 用 程序 的 manifest 标签 中 完成 。 
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下 面 的 代码 段 当 中 所 演示 的 就 是 两 个 使 用 相同 用 户 ID 的 应 用 程序 ， 即 com.example. 
examplel 和 com.example.example2 的 清单 文件 ， 如 下 所 示 : 


<manifest xmlns:android="http://schemas.android. 
com/apk/res/android" 
package="com.example.examplel" 
android:versionCode="1" 
android:versionName="1.0" 
android:sharedUserId="com.sharedID.example"> 
<manifest xmlns:android="http://schemas.android. 
com/apk/res/android" 
package="com.example.example2" 
android:versionCode="1" 
android:versionName="1.0" 
android:sharedUserId="com.sharedID.example"> 
图 4-3 当中 显示 了 两 个 应 用 程序 正在 设备 上 运行 ， 这 两 个 应 用 程序 是 com.example. 
examplel 和 com.example.example2， 现 在 具有 相同 的 应 用 程序 ID 一 一 app_113。 
Son platform-tools — ddms — adb — 127x9 
117196 23776 11111111 S com.googte.android.apps.maps 


a0 
80 100956 21184 41111111 5S com.android. packageinstaller 
shell 1369 98 788 356  c007e6cc S /system/bin/sh 
2 
89 
2 


中 人 人 S flush-179:@ 
114744 29888 ffffffff 
D 


com. exanple. exanple2 
S flLush-31 

00000 5 com.exanple. exonplel 
deb58c R ps 


AT 
app_113 1569 80 。 192356 19928 1111f 
1582 1369 948 00000: 
日 


图 4-3 


读者 可 能 注意 到 了 共享 的 UID 遵循 一 定 的 格式 ， 这 有 些 类 似 于 软件 包 的 名 称 。 任 何 
其 他 命名 约定 将 导致 错误 ， 如 安装 错误 : INSTALL PARSE FAILED BAD SHARED_ 
USER _ ID。 


提示 : 所 有 共享 相同 UID 的 应 用 程序 应 该 具有 相同 的 证 书 。 
4.2.4 外 部 存储 


从 API level 8 开始 ，Android 支持 在 外 部 设备 (如 SD 卡 ) 上 存储 Android 应 用 程序 
(APK 文件 ) 。 这 有 助 于 释放 手机 内 部 存储 空间 。 一旦 移动 APK 文件 到 外 部 存储 ， 那 么 
只 有 应 用 程序 所 占用 的 内 存 才 会 作为 存储 在 内 部 存储 的 应 用 程序 的 隐私 数据 。 需 要 注意 
的 是 ， 即 使 是 在 SD 卡 上 存储 APK 文件 ，DEX (Dalvik Executable) 文件 、 隐 私 数据 目录 
和 本 地 共享 库 仍 将 保存 在 内 部 存储 当中 。 
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可 以 在 清单 文件 中 添加 一 个 可 选 属性 来 启用 这 项 功能 。 基 于 APK 的 当前 存储 位 置 ， 
此 类 应 用 程序 的 应 用 程序 信息 屏 会 显示 “移动 到 SD 卡 上 (move to the SD card) ”, 或 
者 是 “移动 到 拨号 键盘 (move to a phone button) ”。 随 后 用 户 可 以 根据 相应 的 选项 来 移 
动 APK 文件 。 
如 果 外 部 设备 未 安装 或 者 USB 模式 设置 为 大 容量 存储 (设备 被 用 作 磁盘 驱动 器 〉， 
所 有 正在 运行 的 宿主 于 外 部 设备 的 Activity 和 Service 会 立即 被 停止 。 外 部 存储 及 其 安全 
分 析 的 详细 内 容 将 在 第 7 章 进 行 讲述 。 本 节 将 讨论 如 何在 策略 文件 中 指定 外 部 存储 的 首 
启用 在 外 部 设备 当中 存储 APK 的 功能 是 通过 在 应 用 程序 清单 文件 的 <manifes 亿 元素 
中 添加 android:installLocation 可 选 属性 来 完成 的 。android:installLocation 属性 具有 以 下 3 
个 值 。 
口 “IntemalOnly: Android 系统 将 只 在 内 部 存储 安装 应 用 程序 。 在 内 部 存储 不 足 的 情 
况 下 则 会 返回 存储 错误 信息 。 
口 ”PreferExternal: Android 系统 将 尝试 在 外 部 存储 安装 应 用 程序 。 在 外 部 存储 不 足 
的 情况 下 ， 应 用 程序 会 被 安装 在 内 部 存储 。 用 户 将 具有 将 应 用 程序 从 外 部 移动 
到 内 部 存储 的 能 力 ， 反 之 亦 然 。 
口 auto: 该 选项 允许 Android 系统 来 决定 应 用 程序 的 最 佳 安装 位 置 。 默 认 系统 策略 
是 首先 在 内 部 存储 安装 应 用 程序 。 如 果 系 统 在 低 内 存 中 运行 ， 那 么 应 用 程序 会 
被 安装 到 外 部 存储 。 用 户 具 有 将 应 用 程序 从 内 部 存储 移动 到 外 部 存储 的 能 力 ， 
反之 亦 然 。 
例如 , 如 果 android:installLocation 设置 为 auto, 而 在 设备 上 运行 着 低 于 2.2 的 Android 
版 本 ， 那 么 系统 将 忽略 这 个 功能 并 且 APK 将 只 能 安装 在 内 部 存储 。 以 下 是 应 用 程序 具有 
这 个 选项 的 清单 文件 的 代码 段 。 
<manifest package="com.example.android" 
android:versionCode="10" 
android:versionName="2.7.0" 
android:installLocation="auto" 
xmlns:android="http://schemas.android. 
com/apk/res/android"> 
图 4-4 是 具有 前 面 指定 的 清单 文件 的 应 用 程序 的 截图 。 注意， 此 时 的 “移动 到 SD 卡 
(Move to SD card) ”按钮 是 处 于 激活 状态 的 。 
在 另 一 个 应 用 程序 中 ，android:installLocation 未 设置 ， 此 时 “移动 到 SD 卡 ” 按 钮 被 
禁用 ， 如 图 4-5 所 示 。 


程序 的 策略 文件 J 


下 个 全 人 .12:13am 


会! Example1 


hb 


Storage 


Total 620KB 
Application 620KB 
Data 0.00B 


Move to SD card 


0.00B 


Launch by default 


图 4-4 


4.2.5 设置 组 件 可 见 性 


下 个 全 人 .l  12:14Am 


全 
1 坪 ) Example2 


i 


Storage 

Total 620KB 
Application 620KB 
Data 0.00B 


Launch by default 


图 4-5 


任何 应 用 程序 组 件 ， 即 Activity、Service、Provider 和 Receiver 可 以 设置 为 对 外 部 应 
用 程序 是 可 发 现 的 。 本 节 将 会 讨论 这 种 场景 的 细节 内 容 。 


任何 Activity 或 者 Service 可 以 通过 设置 android:exported=false 成 为 私有 的 。 这 也 是 


下 


Activity 的 默认 值 。 参 看 以 下 两 个 私有 Activity 的 例子 。 


<activity android:name=".Activityl" android:exported="false" /> 
<activity android:name=".Activity2" /> 


然而 


然而 ， 如 果 添 加 Intent Filter 到 Activity， 那 么 Activity 将 变 为 在 Intent Filter 中 对 Intent 
可 发 现 。 因此 , 作为 安全 边界 不 应 该 依赖 Intent Filter。 下 面 是 有 关 Intent Filter 声明 的 例子 。 


<activity 


android:name=".Activityl" 


android:label="@string/app name" > 


<intent-filter> 


<action android:name="android.intent.action.MAIN" /> 
<category android:name="android.intent.category.LAUNCHER" /> 
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</intent-filter> 
</activity> 
<activity android:name=".Activity2"> 
<intent-filter> 
<action android:name="com.example.android. 
intent.START ACTIVITY2" /> 
</intent-filter> 
</activity> 


Activity 和 Service 都 可 以 被 外 部 组 件 要 求 的 访问 权限 保护 ， 这 可 以 使 用 组 件 标签 的 
android:permission 属性 来 实现 。 

Content Provider 可 以 使 用 android:exported=false 设置 为 私有 访问 ， 这 也 是 Provider 
的 默认 值 。 在 这 种 情况 下 ， 只 有 具有 与 之 相同 ID 的 应 用 程序 能 够 访问 该 Provider， 这 可 
以 通过 设置 Provider 标签 的 android:permission 属性 进一步 限制 这 种 访问 。 
可 以 通过 使 用 android:exported=false 设置 Broadcast Receiver 成 为 私有 的 。 如 果 
Receiver 不 包含 任何 Intent Filter， 那 么 该 值 将 会 作为 它 的 默认 值 。 在 这 种 情况 下 ， 只 有 有 具 
有 相同 ID 的 组 件 可 以 发 送 Broadcast 到 Receiver。 如 果 Receiver 包含 mtent Filter， 那 么 
它 是 可 发 现 的 并 且 android:exported 的 默认 值 为 false。 


4.2.6 调试 


在 应 用 程序 的 开发 期 间 ， 通 常会 将 应 用 程序 设置 为 调试 模式 ， 该 模式 下 允许 开发 者 
查看 详细 日 志 并 且 可 以 进入 应 用 程序 内 检查 错误 , 这 可 以 通过 在 <application> 标 签 中 设置 
android:debuggable 为 true 来 完成 。 为 了 避免 安全 漏洞 ， 在 发 布 应 用 程序 之 前 将 该 属性 设 
置 为 false 是 非常 重要 的 。 

android:debuggable 的 默认 值 为 false。 


4.2.7 备份 


从 API level 8 开始 ， 应 用 程序 可 以 选择 备份 代理 来 备份 设备 到 云端 或 者 服务 器 。 这 
可 以 通过 在 清单 文件 中 的 <application> 标 签 中 将 android:allowBackup 设置 为 tue， 并 且 设 
置 android:backupAgent 为 类 名 来 创建 。android:allowBackup 的 默认 值 设 置 为 tue, 如 果 希 
望 停 用 备份 ， 应 用 程序 可 以 设置 它 为 false。android:backupAgent 没有 默认 值 而 且 应 该 指 
定 为 类 名 。 

这 种 备份 的 安全 问题 是 有 争议 的 ， 因 为 用 于 备份 数据 的 Service 是 不 同 的 ， 并 且 敏 感 
数据 如 用 户 名 和 密码 可 能 会 被 损害 。 
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4.2.8 ”融会 贯 i 


以 下 的 例子 将 会 利用 目前 所 学 知识 来 分 析 为 RandomMusicPlayer 提供 Android SDK 
示例 的 AndroidManifest.xml。 

清单 文件 当中 指定 了 这 是 com.example.android.musicplayer 应 用 程序 的 第 一 个 版 本 。 
它 在 SDK 14 上 运行 但 是 最 早 可 支持 SDK 7。 在 这 个 应 用 程序 当中 使 用 到 了 两 个 权限 ， 即 
android.permission.INTERNET 和 android.permission.WAKE LOCK。 应 用 程序 具有 一 个 名 
为 MainActivity 的 应 用 程序 入 口 点 的 Activity、 一 个 名 为 MusicService 的 Service 和 一 个 
名 为 MusicIntentReceiver 的 Receiver。 

MusicService 定义 了 名 为 PLAY、REWIND、PAUSE、SKIP、STOP 和 TOGGLE 
PLAYBACK 的 自 定义 操作 。 

Receiver 使 用 由 Android 系统 定义 的 androidmedia.AUDIO_BECOMING NOISY 和 
android.media.MEDIA_BUTTON 操作 Intent。 
注意 其 中 的 组 件 不 被 权限 所 保护 。AndroidManifest xml 文件 的 例子 如 图 4-6 所 示 。 


FenTTESE mlns:ondrotd- "http 773chenos. ondrotd. coa7apk/res7ondrotd 
pockoge= “con, exonple, ondroid. usicplayer” 
android:versionCode= "1” 
androidiversionWamer "1.0"> 


android:minSdkyVersion- "7" ondroid:torgetsdkVerston= "14" /» 


on ondrold:nome= "ondroid. permission. INTERNET™ /> 
on android:name- “android. pereission. NAKE_LOCK™ /> 


<opplication android:icon= “@dronoble/ic. louncher” ondroiditobet- "gstring/opptitle"> 


ty ondroidinemes ointetivity” 
ondroid: lobel= "@string/oppt 
rare dd Dts le/Thene. Bock NoTielesar" 


oid:name- “ondroid, intent. oction, MAIN” 
droid:nome™ “ondrold. intent. category. LAUNCHER™ /> 


e android:exported= “false” ondroid:neme~".MusicService™> 


idinaner “coe exonple. ondroid. must cplayer ection. TOGGLE PLAYEACK™ /> 


‘oid:nane= “com. exomple. ondroid. mustcployer.oction. STOP™ /> 


oid:none® “com. exonple. ondrotd, eusicplayer .oction. URL /> 
dscheme- "http 


‘oid:nane- "ondroid. sedia. AUDIO_BECOMING_NOISY" /> 


oid:name- “android. intent.oction. MEDIA_BUTTON™ /> 


图 4-6 
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在 本 
这 是 一 个 
应 该 考虑 
组 件 和 应 


4.3.1 


在 这 
它们 可 能 
级 的 问题 

口 


DOOOOOODODD 


4.3 示例 检查 清单 


节 当 中 ， 笔 者 试图 组 建 一 个 准备 发 布 应 用 程序 的 版 本 时 建议 参考 的 示例 清单 。 
很 普通 的 版 本 ， 读 者 应 该 使 它 兼 容 自己 的 用 例 和 组 件 。 当 创建 一 个 检查 清单 时 ， 
与 整个 应 用 程序 相关 的 问题 ， 这 些 问题 是 特定 于 组 件 的 ， 同 时 还 应 当 考虑 设置 
用 程序 规范 可 能 出 现 的 问题 。 


应 用 程序 级 


里 笔者 列 出 了 一 些 当 定义 应 用 程序 特定 的 首选 项 时 应 该 拉 心 自问 的 一 些 问题 。 

会 影响 用 户 查 看 、 存 储 和 感知 应 用 程序 的 方式 。 这 些 可 能 会 被 问 到 的 应 用 程序 

如 下 : 

想 与 所 开发 的 其 他 应 用 程序 共享 资源 吗 ? 

> 指定 了 唯一 用 户 人 D 吗 ? 

> 会 为 另 一 个 应 用 程序 有 意 或 者 无 意 地 定义 这 个 唯一 ID 吗 ? 

应 用 程序 需要 一 些 功 能 如 照相 机 、 蓝 牙 和 短信 吗 ? 

> ”应 用 程序 需要 所 有 的 权限 吗 ? 

> 是 否 有 另 一 个 已 经 定义 的 更 严格 的 权限 ? 记 住 最 小 权限 原则 。 

> 所 有 还 是 少数 应 用 程序 的 组 件 需要 这 个 权限 ? 

> 再 次 检查 所 有 权限 的 拼写 。 即 使 权限 拼写 是 不 正确 的 ， 应 用 程序 仍 会 编译 
并 运行 。 

> ”如 果 已 经 定义 了 这 个 权限 ， 那 么 这 是 所 需要 的 正确 的 权限 吗 ? 

应 用 程序 在 哪个 API level 运行 ? 

应 用 程序 可 以 支持 的 最 低 API level 是 什么 ? 

有 应 用 程序 需要 的 所 有 外 部 库 吗 ? 

还 记得 在 发 布 之 前 要 关闭 debug 属性 吗 ? 

如 果 正 在 使 用 备份 代理 ， 那 么 请 记 住 在 这 提 及 它 

还 记得 设置 版 本 号 吗 ? 这 在 应 用 程序 升级 期 间 会 有 所 帮助 。 

希望 设置 自动 升级 吗 ? 

还 记得 使 用 解锁 密 钥 签 名 应 用 程序 吗 ? 

有 时 设置 特定 的 屏幕 方向 会 不 允许 应 用 程序 在 某 个 设备 上 可 见 。 例 如 ， 如 果 应 
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OODODO 


4.3.2 


用 程序 只 支持 肖像 模式 ， 那 么 它 不 会 在 只 支持 横向 模式 的 设备 上 出 现 。 

想 在 哪里 安装 APK? 

如 果 没 有 及 时 接收 Intent， 有 可 能 会 停止 运行 的 Service 吗 ? 

想 要 一 些 其 他 应 用 程序 级 设置 ， 如 系统 恢复 组 件 的 功能 吗 ? 

如 果 定义 一 个 新 的 权限 ， 请 反复 考虑 是 否 真 的 需要 它们 。 没 准 已 经 有 存在 的 权 
限 ， 它 会 覆盖 当前 的 用 例 。 


组 件 级 


一 些 在 策略 里 想 要 考虑 的 组 件 级 问题 在 下 面 列 出 。 这 些 是 应 该 询问 的 关于 每 个 组 件 


的 问题 。 


定义 了 所 有 组 件 吗 ? 


DOODOODODO 


口 口 口 


如 果 在 应 用 程序 使 用 第 三 方 库 ， 定 义 所 有 将 使 用 的 组 件 吗 ? 

有 特定 的 第 三 方 库 在 应 用 程序 中 所 预期 的 设置 吗 ? 

希望 这 个 组 件 对 其 他 应 用 程序 可 见 吗 ? 

需要 添加 一 些 Intent Filter 吗 ? 

如 果 组 件 不 应 该 是 可 见 的 ， 需 要 添加 Intent Filter 吗 ? 请 记 住 只 要 添加 了 Intent 
Filter， 组 件 就 变 为 可 见 的 。 

其 他 组 件 需要 一 些 特定 的 权限 来 触发 这 个 组 件 吗 ? 

验证 权限 名 称 的 拼写 。 

应 用 程序 需要 一 些 功能 如 照相 机 、 蓝 牙 和 短信 吗 ? 


44 小 结 


在 本 章 中 学 习 了 如 何 定义 应 用 程序 策略 文件 。 清 单 文件 是 应 用 程序 最 重要 的 构件 ， 
应 该 非常 谨慎 地 进行 定义 。 清 单 文 件 当 中 声明 了 应 用 程序 所 要 求 的 权限 和 外 部 应 用 程序 
需要 访问 它 的 组 件 的 权限 。 与 策略 文件 一 起 被 定义 的 还 有 APK 的 存储 位 置 以 及 应 用 程序 
将 要 运行 的 最 低 SDK。 策 略 文件 公开 了 对 应 用 程序 不 敏感 的 组 件 。 在 本 章 的 结尾 ， 讨 论 
了 一 些 当 编写 清单 文件 时 开发 者 应 该 了 解 的 常见 样 例 问题 的 检查 清单 。 

本 章 是 对 本 书 的 第 一 部 分 的 全 面 总 结 ， 在 这 部 分 中 了 解 到 了 Android 应 用 程序 架构 。 
接 下 来 将 会 转移 到 本 书 的 下 一 部 分 ， 进 而 关注 用 户 数据 的 安全 存储 。 
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在 对 Android 平台 、 应 用 程序 安全 架构 和 组 件 有 了 清晰 的 认识 之 后 , 接 下 来 开始 进入 
最 具 挑 战 性 的 学 习 : 数据 保护 。 正 如 之 前 所 说 的 那样 ， 作 为 应 用 程序 开发 者 ， 开 发 者 的 
可 信 度 取决 于 开发 如 何 安全 地 处 理 用 户 数据 。 因 此 本 章 以 “尊重 您 的 用 户 ” 命 名 。 

本 章 将 会 讲述 保护 用 户 数据 安全 的 重要 性 和 意义 的 基础 。 首 先 会 从 评估 数据 和 CIA 
三 元 组 的 安全 性 为 基准 的 讨论 开始 。 紧 接着 结合 一 个 书店 应 用 程序 的 例子 ， 分 别 从 资产 、 
威胁 以 及 攻击 场景 运行 该 应 用 程序 。 随 后 将 会 讨论 移动 生态 环境 及 其 不 同 组 件 如 何 影响 
用 户 数据 的 安全 。 最 后 ， 讲 述 一 下 Android 数字 版 权 管理 (Digital Rights Management， 
DRM) 架构 。 


5.1 数据 安全 的 原则 


本 节 将 会 讨论 数据 安全 的 3 个 原则 ， 即 保密 性 〈confidentiality) 、 完 整 性 (integrity) 
和 可 用 性 〈availability) ， 这 通常 被 称 为 是 CIA。 任 何在 设备 或 者 服务 器 上 的 数据 存储 都 
应 该 满足 这 3 个 安全 属性 。 理 解 这 些 标准 将 有 助 于 评估 确保 数据 存储 安全 解决 方案 的 可 
靠 程度 。 这 3 个 原则 通常 表示 为 CIA 三 元 组 ， 如 图 5-1 所 示 。 
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5.1.1 保密 性 


保密 性 是 安全 的 第 一 支柱 ， 并 且 它 注重 于 数据 隐私 。 该 原则 确保 隐私 数据 远离 被 完 
探 ， 并 且 隐 私 数据 只 对 具有 适当 访问 权限 的 用 户 可 用 。 例 如 ，Android 应 用 程序 的 隐私 数 
据 应 该 只 对 应 用 程序 的 组 件 或 者 具有 适当 权限 (假设 使 用 权限 保护 数据 的 其 他 组 件 是 
可 访问 的 。Linux 操作 系统 沙 箱 和 权限 负责 执行 保密 性 。 在 另 一 种 情况 下 ,包含 敏感 数据 
的 加 密 文 件 可 能 存在 于 SD 卡 。 即 使 设备 或 者 SD 卡 已 经 被 入 侵 , 但 是 这 些 信息 仍 不 会 被 
泄露 ， 这 是 通过 使 用 密码 学 来 执行 这 种 保密 性 。 保 密 性 的 另 一 个 例子 是 设备 在 某 个 不 活 
动 期 锁 闭 并 且 需 要 用 户 赁 证 解锁 。 请 注意 Linux 内 核 默认 不 支持 文件 系统 加 密 ， 因 此 在 
存储 之 前 加 密 敏感 数据 是 至 关 重 要 的 。 


5.1.2 ”完整 性 


数据 完整 性 确保 数据 在 传输 过 程 中 或 者 静止 时 不 会 被 有 意 无 意 间 修改 。 例 如 ， 不 适 
当 的 写 入 到 数据 库 的 表 中 可 能 会 导致 意外 的 完整 性 问题 。 因 此 除非 能 够 真正 了 解 ， 否 则 
总 是 推荐 使 用 内 置 的 同步 方法 来 执行 数据 完整 性 。 故 意 的 数据 完整 性 破坏 可 以 发 生 在 应 
用 程序 与 服务 器 通信 的 传输 期 间 。 在 数据 传输 过 程 当中 ， 中 间 人 可 以 监听 并 且 改 变 这 些 
数据 。 为 了 规避 这 种 欺骗 的 行为 ， 数 据 完整 性 原则 总 是 推荐 当 与 服务 器 通信 时 加 密 数 据 
并 且 使 用 安全 套 接 层 (Secure Socket Layer，SSL) 协议 。 对 于 附加 的 安全 ， 可 以 使 用 校 
验 和 (checksum) 。 此 外 ，SSL 还 需要 CA 证 书 验 证 链 ， 这 很 少 在 Android 应 用 程序 使 用 。 


5.1.3 可 用 性 


数据 可 用 性 确保 在 需要 数据 时 ， 这 些 数据 能 够 立即 可 用 。 应 用 程序 应 该 不 允许 未 经 
授权 的 用 户 访问 敏感 信息 。 


5.2 识别 资产 、 威 胁 和 攻击 


没有 什么 是 绝对 安全 的 。 当 讨论 数据 安全 时 ， 需 要 识别 正在 保护 的 是 什么 以 及 从 谁 
那里 保护 。 以 下 3 个 问题 有 助 于 思考 如 何 实施 数据 安全 : 

(1) 试图 要 保护 什么 ?从 Android 应 用 程序 的 角度 来 看 ， 当 前 试图 保护 的 是 用 户 的 
用 户 名 和 密码 ? 还 是 用 户 可 能 通过 应 用 程序 输入 进行 支付 的 优惠 券 码 和 信用 卡号 码 ? 又 
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或 者 是 保护 用 户 使 用 应 用 程序 购买 的 歌曲 或 者 图 片 的 权限 ? 通过 回答 这 一 系列 问题 就 能 
够 很 轻易 地 确定 要 保护 的 资产 。 

(2) 试图 保护 谁 的 资产 ? 换 名 话说， 目前 的 威胁 是 什么 ? 是 试图 保护 用 户 数据 不 被 
其 他 应 用 程序 所 窃取 ? 还 是 试图 保护 这 些 信息 不 被 其 他 自己 所 开发 的 应 用 所 使 用 ? 即使 
设备 被 盗 ， 还 需要 保护 相关 资产 吗 ? 

(3) 攻击 是 什么 ? 回答 这 个 问题 有 助 于 识别 在 应 用 程序 中 的 漏洞 。 从 黑客 的 角度 思 
考 如 何在 应 用 程序 中 利用 漏洞 。 

回答 上 面 提 到 的 3 个 问题 将 有 助 于 确定 资产 的 价值 ， 以 及 愿意 在 保护 这 些 资产 方面 
所 花费 多 少 的 时 间 和 精力 。 在 这 里 可 以 尝试 以 一 个 示例 应 用 程序 回答 上 述 问题 。 还 是 回 
到 书店 应 用 程序 上 来 ， 在 这 里 用 户 可 以 在 目录 中 浏览 书籍 、 将 书籍 添加 到 意愿 清单 以 及 
订购 运送 给 用 户 的 书籍 。 在 应 用 程序 当中 记录 了 有 关 用户 的 基本 信息 ， 如 最 近 的 作者 、 
用 户 浏览 的 类 别 、 语 言 以 及 用 户 名 信息 ， 所 以 当 用 户 登 录 时 ， 应 用 程序 做 出 某 些 建 议 
且 让 用 户 倍 感 亲切 。 应 用 程序 还 为 用 户 提供 商店 信用 卡号 码 、 邮 寄 地 址 和 姓名 ， 以 便 用 
户 在 准备 支付 书籍 时 容易 结账 。 

下 面 开始 尝试 解答 前 面 提 到 的 第 一 个 问题 ， 试 图 保护 什么 ? 在 上 述 的 例子 中 所 涉及 
的 资产 是 : 
姓名 
信用 卡号 码 
邮寄 地 址 
最 近 搜 索 的 作者 
最 近 搜 索 的 语言 
最 近 搜索 的 类 别 
用 户 名 
密码 
书籍 意愿 清单 

图 5-2 当中 展示 了 在 该 例子 中 不 同 的 敏感 数据 构件 。 

请 注意 并 非 所 有 需要 保护 的 资产 都 同样 重要 。 存 储 机 制 基于 信息 的 敏感 性 作出 相应 
的 决定 。 例 如 ， 信 用 卡号 码 和 密码 (如 果 它 们 被 存储 在 设备 上 ) 需要 被 强制 保护 。 可 以 
对 这 些 信息 进行 加 密 并 且 也 可 以 存储 这 些 信息 的 哈 希 值 , 代 蔡 以 原始 形式 存储 这 些 信息 。 
传输 当中 加 密 这 些 信息 ， 还 可 以 使 用 SSL 协议 以 确保 通信 安全 。 用 户 首选 项 的 漏 失 ， 如 
语言 、 作 者 和 类 别 没有 重大 的 风险 。 即 使 这 些 信息 漏 失 ， 用 户 还 可 以 再 次 创建 。 

上 述 的 分 析 还 引发 了 对 于 个 人 身份 信息 (Personally Identifiable Information，PII) 是 
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使 用 胖 客户 端 还 是 瘦 客 户 端的 有 关 争 论 。 胖 客户 端 在 设备 上 存储 了 大 量 信息 ， 所 以 应 用 
程序 也 随 之 在 设备 上 存储 PI。 瘦 客户 端 则 依赖 于 后 端 服务 器 ， 将 所 有 负担 都 留 在 服务 器 
端 ， 它 们 在 设备 上 存储 最 少 的 信息 。 这 是 一 个 很 好 的 方法 ， 因 为 设备 可 能 会 丢失 或 者 被 
盗 ; 随后 的 风险 就 转变 为 缺乏 有 效 保护 的 用 户 数据 。 


Purchase History 


Category Preference 
Credit Card Number 


Language Preference 


Wish list 


Password 


Usemame 
Author Preference 


图 5-2 


接 下 来 ， 需 要 找 出 相应 攻击 场景 。 有关 这 部 分 内 容 的 讨论 可 以 使 用 下 面 的 例子 来 进 
行 ， 如 图 5-3 所 示 。 

假设 用 户 安装 了 一 个 恶意 应 用 程序 ， 该 应 用 程序 现在 试图 使 用 各 种 不 同 的 方法 来 窃 
取 用 户 信息 ， 如 图 5-3 所 示 。 第 一 种 情况 ， 它 试图 访问 不 同 的 数据 库 表 并 提取 用 户 信 息 。 
这 是 一 个 窃取 隐私 信息 的 典型 例子 。 如 果 使 用 权限 保护 数据 库 表 ， 那 么 用 户 信息 将 会 处 
于 一 个 相对 安全 的 环境 。 如 果 Content Provider 检查 组 件 的 身份 ， 那 么 用 户 信息 将 会 在 更 
安全 的 场景 下 运行 。 

另 一 种 情况 ， 一 个 恶意 应 用 程序 会 发 送 广播 信息 ， 这 些 广播 信息 携带 着 接收 应 用 程 
序 会 尝试 遵照 的 或 者 是 恶意 应 用 程序 尝试 启动 其 他 应 用 程序 组 件 的 不 良 数据 ， 或 者 是 携 
带 着 可 能 会 导致 其 他 应 用 程序 崩溃 的 不 规范 数据 。 因 此 ， 在 执行 之 前 检查 调用 应 用 程序 
的 身份 并 审查 输入 数据 是 十 分 重要 的 。 
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App cannat access 
table 


User installs malicious 
app 


App can access table 


图 5-3 


从 这 种 攻击 场景 吸取 的 重要 教训 如 下 ， 如 图 5-4 所 示 。 

口 ”除非 是 绝对 必需 的 ， 否 则 永远 不 要 公开 组 件 。 保 持 组 件 私有 是 第 一 道 防线 。 

口 ”如果 公 开 组 件 ， 要 确保 使 用 权限 保护 它 。 这 是 一 个 决定 是 否 将 组 件 公 开 给 整个 
系统 或 者 是 仅 公开 给 开发 者 所 开发 出 的 其 他 应 用 程序 的 最 佳 位 置 。 如 果 此 时 的 
场景 是 在 由 同一 开发 人 员 所 编写 的 应 用 程序 之 间 共 享 组 件 ， 可 以 定义 一 些 自 定 
义 权限 。 

口 通过 指定 一 些 Intent Filter 来 减少 攻击 面 。 

口 永远 记 住 在 执行 之 前 检查 输入 数据 。 如 果 数 据 并 不 是 所 要 求 的 格式 或 者 形式 ， 
那么 应 该 制定 某 种 完美 退出 该 场景 的 计划 。 在 这 种 情况 下 ， 向 用 户 去 显示 一 条 
错误 信息 或 是 一 种 选择 。 


User instals malicious 
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其 他 场景 可 能 包括 从 连接 到 流氓 WiFi 的 设备 监听 数据 交换 的 恶意 应 用 程序 。 这 些 应 
用 程序 可 以 拦截 信息 、 修 改 信息 、 假 装 用 户 连接 的 服务 器 或 者 完全 屏蔽 数据 流 。 所 有 的 
这 些 场景 之 下 都 会 有 安全 风险 ， 如 图 5-5 所 示 。 


转 Server 国 Semer 
we 
Normal flow of information over Wi-Fi Te 
Message intercepted over Wi-Fi 


Server Semver 
Ye Am 
> ~ < > Ea 
Message modified over Wi-Fi Rogue application pretending to be the server 


一 一 一 种 国 
国 [= 
Sever 
会 


Rogue application stops any communication with server 
Rogue application floods the server with requests 


图 5-5 


另 一 个 例子 是 恶意 应 用 程序 更 改 在 设备 上 存储 的 数据 。 用 户 可 能 甚至 都 没 意 识 到 信 
息 已 经 被 更 改 的 事实 。 假 设 应 用 程序 已 经 被 本 地 化 为 不 同 语言 ， 并 且 用 户 设 置 了 首选 语 
言 。 在 以 下 的 这 个 场景 当中 ， 用 户 的 首选 语言 从 英语 改变 为 日 语 。 在 用 户 下 次 登录 时 ， 
应 用 程序 使 用 日 语 打开 。 虽 然 在 这 个 例子 当中 ， 用 户 可 能 觉得 安全 风险 并 不 是 很 大 ， 给 
他 本 人 带 来 了 一 些 不 便 之 处 ; 但 这 个 例子 恰恰 证 明了 信息 修改 是 另 一 个 安全 风险 的 观点 ， 
如 图 5-6 所 示 。 

如 果 隐 私信 息 如 信用 卡 信息 、 密 码 以 及 社保 号 码 被 盗 ， 那 么 这 就 是 非常 严重 的 安全 
风险 。 提 醒 用 户 关于 安全 漏洞 的 计划 必须 经 过 深思 熟 虑 。 不 恰当 地 访问 用 户 首选 项 和 意 
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愿 列 表 ， 可 能 会 引起 用 户 烦恼 ， 但 不 能 作为 这 样 的 隐私 风险 来 对 待 。 


存储 的 对 象 与 位 置 

上 述 分 析 形 成 了 应 用 程序 开发 者 必须 思考 的 两 个 重要 结论 。 

第 一 ， 应 用 程序 开发 者 必须 决定 他 所 希望 从 用 户 收集 的 信息 。 正 如 最 小 特权 原则 那 
样 ， 在 此 处 也 存在 着 最 小 存储 原则 。 最 小 存储 原则 结果 是 最 小 风险 和 责任 。 应 用 程序 开 
发 者 应 该 总 是 试图 和 印 载 个 人 身份 信息 〈PI) 的 存储 。 例 如 在 上 面 的 例子 当中 ， 应 用 程序 
可 能 不 愿意 存储 信用 卡 详细 信息 、 账 单 地 址 以 及 有 关 支 付 的 其 他 信息 。 支 付 是 一 个 相当 
束 手 的 领域 ， 诸 如 PayPal 此 类 的 公司 会 在 结算 流程 给 用 户 予 帮助 。 处 理 信 用 卡号 码 的 任 
何 应 用 程序 还 建议 应 当 遵循 PCI (支付 卡 行业 ，Payment Card Industry) 标准 ， 在 该 标准 
当中 列 出 了 应 用 程序 和 服务 器 必须 遵从 的 要 求 。 

第 二 ， 用 户 数据 存储 于 何 处 。 在 现今 的 分 布 式 数据 存储 环境 中 ， 开 发 者 有 许多 存储 
选项 可 以 选择 。 如 存储 在 设备 上 、 服 务 器 上 、 云 上 或 者 第 三 方 应 用 程序 上 。 移 动 设备 不 
应 该 被 认为 是 安全 的 存储 位 置 ， 这 在 一 定 程度 上 是 因为 它 很 容易 被 盗 或 丢失 ， 同 时 还 因 
为 大 多 数 设 备 不 具备 先进 的 安全 机 制 ， 如 安全 因素 以 及 台式 机 和 笔记 本 电脑 具有 的 双 启 
动 等 。 密 码 、 密 钥 、 大 型 内 容 文件 、PI 和 其 他 敏感 信息 应 该 在 后 端 服务 器 上 存储 。 再 次 
重申 ， 为 这 些 服 务 器 配置 防火 墙 是 重要 的 。 

第 7 章 中 将 会 再 次 讨论 这 个 例子 ， 在 那里 将 会 基于 前 述 分 析 来 决定 适当 存储 选项 和 
保护 机 制 。 


5.3” 端 到 端 安全 


大 约 十 年 前 ， 音 乐 存储 在 磁带 和 磁盘 上 、 照 片 存在 于 相册 中 、 手 机 只 用 于 紧急 情况 。 
闪 回 到 如 今 ， 越 来 越 多 的 生活 被 数字 化 了 。 朋 友 的 或 家 人 的 、 喜 欢 的 或 不 喜欢 的 图 片 、 


互 


第 5 章 尊重 您 的 用 户 “67- 


通讯 录 ， 甚 至 购买 历史 和 信用 卡号 码 也 数字 化 了 。 来 想象 下 用 户 丢失 了 手机 的 场景 吧 。 
除了 设备 的 金融 价值 和 与 存储 内 容 相 关 的 情感 价值 ， 最 大 的 风险 就 是 用 户 在 设备 上 存储 
的 个 人 信息 的 危害 。 这 些 信 息 可 能 包括 PI， 这 可 以 识别 个 体 如 姓名 、 社 保 号 码 、 出 生日 
期 和 母亲 的 娘家 姓 。 它 还 可 以 包括 访问 密码 、 通 讯 录 和 短信 数据 。 即 使 是 拥有 设备 的 用 
户 ， 这 种 风险 仍然 潜伏 并 且 设 备 会 因 恶意 软件 而 受 损 。 


5.3.1 移动 生态 系统 


如 图 5-7 所 示 , 在 移动 生态 系统 有 不 同 的 组 件 如 设备 、 网 络 、 用 户 在 设备 上 安装 的 应 
用 程序 、 原 始 设备 制造 商 〈Original Equipment Manufacturers，OEM) 以 及 消费 者 的 设备 
和 与 之 交互 的 其 他 服务 。 
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; 


下 面 更 进一步 地 来 看 看 这 些 组 件 。 

口 消费 者 :整个 生态 系统 都 在 围绕 着 消费 者 ， 以 及 消费 者 如 何 与 不 同 的 生态 系统 
交互 。 

口 ”设备 制造 商 : 也 称 为 OEM， 即 生产 硬件 设备 的 公司 ， 如 HTC、 摩 托 罗拉 、 三 星 
和 LG 都 设计 并 制造 Android 设备 。 除 了 设备 的 尺寸 和 风格 之 外 , 每 个 设备 制造 
商都 不 约 而 同 地 把 精力 投入 到 他 们 的 片上 系统 〈Systems On Chip，SOC) 、 设 
备 驱动 以 及 影响 应 用 程序 在 不 同 设备 上 运行 方式 的 固件 上 来 。 开 发 者 如 果 已 经 
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口 


在 不 同 设备 上 测试 了 自己 的 应 用 程序 ， 那么 应 该 能 够 很 容易 地 注意 到 这 些 差别 。 
在 硬件 级 的 任何 安全 缺陷 会 影响 使 用 这 个 硬件 的 所 有 设备 。 此 外 ， 硬 件 缺 陷 也 
很 难 进行 修补 。 

操作 系统 供应 商 : Android 是 开源 的 操作 系统 并 且 制 造 商 有 权 修改 它 或 者 使 用 自 
己 的 软件 。 例如， 设备 制造 商 可 能 决定 使 用 不 同 的 WebKit 引擎、 音乐 播放 器 或 
者 屏幕 ,而 不 使 用 Android 堆 所 绑 定 的 那些 软件 包 。 这 将 导致 应 用 程序 在 不 同 的 
设备 运行 和 外 观 不 同 。 在 这 些 专 有 软件 包 里 的 安全 缺陷 可 能 导致 应 用 程序 受 损 。 
运行 操作 系统 特定 版 本 的 所 有 设备 都 受 这 个 缺陷 的 影响 。 在 软件 包 的 缺陷 通常 
可 以 修补 并 且 推荐 用 户 一 直 保 持 软件 更 新 。 

运营 商 : AT&T、Sprint、Verizon、Orange 和 Vodafone 都 是 提供 使 移动 设备 正 
常 运行 的 基础 设施 的 运营 商 。 它 们 为 设备 提供 数据 和 语音 计划 ， 也 与 设备 制造 
商 〈 在 大 多 数 情况 下 也 是 操作 系统 供应 商 ) 合作 在 系统 映 象 中 绑 定 他 们 的 自 定 
义 应 用 程序 。 它 们 也 可 能 与 OEM 合作 以 适应 安全 规则 满足 其 需求 。 例 如 ， 它 们 
会 向 OEM 要 求 在 不 必 征 得 用 户 同意 或 者 显示 权限 请 求 的 情况 下 , 直接 加 载 或 者 
安装 应 用 程序 。 

服务 : 设备 与 之 交互 的 服务 如 云 备份 服务 。 在 大 多 数 情况 下 ， 用 户 安装 与 后 端 
交互 的 客户 端 。 其 他 服务 可 以 是 支付 服务 (如 PayPal) 、 邮 件 服务 (如 Gmail) ， 
以 及 社交 网 络 服务 (如 Facebook 和 Twitter) 。 这 些 服务 大 多 数 作 为 第 三 方 应 用 
程序 提供 给 用 户 。 

应 用 程序 开发 者 : 将 应 用 程序 上 传 到 应 用 商店 〈 如 Google Play 和 Amazon) 的 
个 体 应 用 程序 开发 者 或 者 开发 者 小 组 。 此 类 应 用 程序 的 例子 包括 实用 应 用 程序 、 
游戏 、 内 容 消费 应 用 程序 。 本 书 的 大 部 分 读者 均 属 于 此 分 类 。 

基础 设施 : 这 是 移动 基础 设施 骨干 的 技术 和 协议 。 包 括 码 分 多 址 (Code Division 
Multiple Access, CDMA)、 全 球 移动 通信 系统 (Global System for Mobile, GSM)、 
全 球 微波 互联 接 入 (Worldwide Interoperability for Microwave Access, WiMAX) 、 
无 线 应 用 协议 (Wireless Application Protocol, WAP) 以 及 感应 技术 如 NFC、RFID 
和 蓝牙 。 这 些 技术 的 安全 缺陷 可 以 使 应 用 程序 容易 受到 攻击 。 

标准 和 安全 : 这 是 在 本 书 撰写 时 仍然 在 演变 的 移动 生态 系统 的 两 个 版 块 。 


=) 


正如 所 注意 到 的 那样 ， 在 移动 生态 系统 当中 有 许多 参与 者 ， 因 而 增加 了 风险 面 和 威 
胁 面 。 此 外 ， 并 不 是 所 有 移动 领域 的 主流 参与 者 都 协同 工作 ， 在 某 些 情况 下 对 彼此 甚至 
会 造成 复杂 的 攻击 模型 。 另 外 ， 制 造 商 为 目标 市 场 生产 设备 ， 这 是 一 个 复杂 的 领域 ， 有 
着 不 断 移动 和 发 展 的 部 分 。 从 端 到 端的 视角 看 待 安全 ， 不 难 发 现 应 用 程序 开发 者 的 唯一 
动力 是 他 们 所 开发 的 应 用 程序 。 设 备 或 者 操作 系统 的 其 他 任何 缺陷 都 可 能 会 导致 安全 漏 
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洞 。 例 如 ， 操 作 系统 的 缺陷 可 以 导致 提 权 并 使 应 用 程序 作为 root。 在 这 种 情况 下 ， 这 个 

root 应 用 程序 可 以 访问 在 设备 上 的 所 有 信息 。 所 有 应 用 程序 会 受到 影响 ， 但 如 果 开发 者 

使 用 良好 的 安全 标准 ， 那 么 他 们 的 影响 是 最 小 的 。 

提示 : 应 用 程序 开发 者 的 唯一 动力 是 他 们 所 开发 的 应 用 程序 。 任 何 恶 意 用 户 可 以 利用 设 
备 硬件 、 操 作 系 统 或 者 加 载 应 用 程序 的 弱点 ， 进 而 访问 用 户 数据 。 


例如 ， 书 店 应 用 程序 与 数据 库 进 行 通信 ， 发 送信 息 到 服务 器 上 并 缓存 一 些 数据 。 这 
个 过 程 当中 的 所 有 环节 都 需要 保护 。 如 果 设 备 正 在 使 用 某 种 感应 技术 如 近 距 离 无 线 通信 
(Near Field Communication, NFC) 、 蓝 牙 或 者 无 线 射 频 识 别 (Radio Frequency Identification， 
RFID) 来 交换 数据 ， 重 要 的 是 理解 安全 风险 和 与 这 些 技术 相关 的 新 的 附加 场景 。 

在 第 6 章 当 中 将 会 讨论 可 以 用 来 确保 数据 在 传输 过 程 中 安全 的 加 密 算 法 。 


5.3.2 ”数据 的 3 种 状态 


首先 来 看 看 在 典型 的 移动 应 用 程序 中 的 信息 流 。 再 次 回 到 之 前 的 那个 书店 应 用 程序 
上 来 。 在 该 应 用 程序 当中 ， 用 户 可 以 在 目录 浏览 书籍 、 添 加 书籍 到 意愿 清单 ， 以 及 订购 
运送 给 用 户 的 书籍 。 应 用 程序 记录 了 关于 用 户 的 基本 信息 ， 如 最 近 的 作者 、 用 户 浏览 书 
籍 的 类 别 ， 以 及 语言 和 用 户 名 。 用 户 的 信用 卡号 码 、 邮 寄 地 址 和 姓名 也 一 并 被 存储 以 方 
便 付 款 。 

图 5-8 显示 了 这 样 一 种 潜在 的 场景 。 书 店 应 用 程序 在 设备 上 使 用 SQLite DB 数据 库 
和 Flats Files 作为 缓存 。 应 用 程序 在 外 部 服务 器 存储 账户 详细 信息 、 书 籍 目录 和 意愿 清单 
并 且 使 用 WiFi 连接 到 后 端 服务 器 。 

在 任何 给 定时 刻 ， 数 据 可 以 存储 在 一 个 位 置 、 从 一 个 节点 传送 到 其 他 节点 ， 或 是 在 
已 经 执行 的 进程 中 。 这 里 将 数据 的 这 3 种 状态 称 为 静态 数据 (data at rest) 、 传 输 中 数据 
(data in transit) 和 使 用 中 数据 (data in use) ， 如 图 5-9 所 示 。 下 面 进一步 讲述 这 3 种 状态 。 

(1) 静态 数据 : 在 某 种 存储 介质 如 SD 卡 、 设 备 内 存 、 后 端 服 务 器 和 数据 库 上 存储 
的 数据 。 这 些 数据 处 于 不 活跃 的 状态 。 在 前 面 讲述 的 例子 中 , 存在 于 平面 文件 .SQLite DB 
数据 库 表 和 后 端 服务 器 上 的 数据 都 被 认为 是 静态 数据 。 

(2) 使 用 中 数据 : 目前 正在 处 理 的 数据 称 为 使 用 中 数据 。 这 类 数据 的 例子 包括 正在 
从 数据 库 表 访问 的 数据 、 使 用 Intent 发 送 给 应 用 程序 组 件 的 数据 ,以 及 当前 正在 写 入 或 者 
读 出 的 文件 。 

(3) 传输 中 数据 : 数据 从 一 个 节点 转移 到 另 一 个 节点 称 为 传输 中 数据 。 从 数据 库 查 
询 响应 转移 到 应 用 程序 的 数据 是 传输 数据 的 例子 。 
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\ 。*Data being read from table 


| Application da 一- 一 一 一 Datainuse |*Spreadsheets being 


| *Data being transferred 


| Datain transit | Pe 


图 5-9 
当 处 理 数据 和 考虑 端 到 端 安全 时 ， 保 护 这 3 种 状态 的 数据 是 非常 重要 的 。 


5.4 数字 版 权 管 理 


数字 版 权 管理 (Digital Rights Management，DRM) 是 数字 内 容 (如 音乐 、 电 子 书 、 
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应 用 程序 、 视 频 和 电影 等 ) 的 访问 控制 技术 。 访 问 控制 基于 与 内 容 相关 的 版 权 对 象 ， 该 

版 权 对 象 包含 内 容 的 限制 使 用 、 分 发 以 及 复制 的 规则 .DRM 方 案 如 OMA DRM v1 和 OMA 

DRM v2 由 开放 移动 联盟 (Open Mobile Alliance，OMA) 开发 ， 但 是 许多 设备 制造 商 有 

专 有 的 DRM 方案 。 
DRM 系统 包含 如 下 的 一 些 组 件 ， 如 图 5-10 所 示 。 

口 ”内 容 服务 器 设备 从 中 获取 媒体 内 容 的 服务 器 。 

口 版 权 服 务 器 : 设备 在 这 个 服务 器 获取 版 权 对 象 。 版 权 对 象 通常 是 具有 与 内 容 相 
关 的 权限 和 限制 的 XML 文件 。 

口 DRM 代理 : 该 代理 存在 于 设备 当中 ， 并 且 是 关联 内 容 、 版 权 、 版 权 执 行 和 内 容 
权限 的 可 信 机 构 。 

口 “存储 设备 : 存储 内 容 和 版 权 对 象 的 设备 。 它 可 能 是 手机 、 平 台电 脑 ， 或 者 外 部 
存储 如 SD 卡 或 者 甚至 云 存储 。 


DRM Agent lives inside device 


External storage 


图 5-10 


可 以 在 www.openmobilealliace.org 上 阅读 到 关于 OMA DRM 的 完整 的 规范 。OMA 
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DRM 1.0 支持 模型 如 内 容 转 发 锁定 (forward locking of content， 即 内 容 不 能 转发 到 另 一 个 
设备 )、 组 合 传送 (combined delivery, 即 内 容 和 版 权 对 象 一 起 传送 ), 以 及 单独 传送 (separate 
delivery, 即 内 容 和 版 权 对 象 分 别 从 不 同 的 服务 器 获取 )。.OMA DRM v2.0 的 安全 基于 PKI， 
这 无 疑 会 更 加 安全 。 制造 商 可 以 挑选 希望 在 设备 上 支持 的 DRM 方案 , 也 可 以 相应 地 实现 
或 者 修改 DRM 方案 。 

Android 从 API 11 开始 支持 DRM。Android 对 DRM 的 支持 是 开放 的 , 所 以 制造 商 可 
以 选择 他 们 自身 的 DRM 代理 ， 这 可 以 由 在 两 个 架构 层 之 间 执 行 DRM 架构 来 实现 。 
Android 开发 者 网 站 〈developer.android.com) 当中 对 于 此 部 分 内 容 的 概略 显示 如 图 5-11 
所 示 。 


图 5-11 


DRM 管理 器 实现 DRM 架构 ， 这 对 于 整合 使 用 这 个 架构 作为 插件 的 首选 DRM 代理 
的 设备 制造 商 是 有 意义 的 。 架 构 层 对 DRM 管理 器 的 所 有 复杂 性 进行 抽象 ， 并 且 给 开发 
者 公开 了 一 组 统一 的 API 来 进行 处 理 。 这 些 API 和 应 用 程序 的 其 他 代码 在 Dalvik VM 中 
运行 。 

所 有 DRM API 在 android.drm 包 中 呈现 ， 这 个 包 包 含 类 和 接口 来 取得 版 权 信息 、 关 
联 内 容 和 版 权 、 查 询 DRM 插件 和 MIME 类 型 。 DrmManager 类 为 每 个 DrmManagerClient 
提供 唯一 的 ID 进行 操作 。 

应 用 程序 首先 需要 在 设备 上 查找 可 用 的 DRM 插件 。 这 可 以 使 用 DamManagerClient 
类 来 完成 ， 如 下 所 示 : 

DrmManagerClient mDrmManagerClient = new 


DrmManagerClient (getContext () ) 
String[] plugins = mDrmManagerClient.getAvailableDrmEngines(); 


第 5 章 尊重 您 的 用 户 9 


下 一 步 是 注册 DRM 服务 器 并 且 下 载 版 权 对 象 : 

DrmManagerClient mDrmManagerClient = new DrmManagerClient (context); 

DrmInfoRequest infoRequest = new DrmInfoRequest (DrmInfoRequest.TYPE 

RIGHTS ACQUISITION INFO, MIME); 

mDrmManagerClient .acquireDrmInfo (infoRequest); 

第 三 步 是 从 版 权 对 象 当 中 提取 证 书信 息 。 这 使 用 DrmManager 的 getConstraint() 方 法 
完成 ， 如 下 所 示 : 

ContentValues constraintsValues = mDrmManager .getConstraints (String 

path, int action) 7 

ContentValues constraintsValues = mDrmManager .getConstraints (Uri uri, 

int action) > 

接着 需要 关联 内 容 和 版 权 对 象 。 这 可 以 通过 在 DrmManager 的 saveRights() 方 法 指定 
内 容 路 径 和 版 权 路 径 来 完成 。 一 旦 完成 关联 ，DRM 代理 将 继续 执行 内 容 权限 而 无 须 用 户 
干预 。 

int status = mDrmManager.saveRights (DrmRights drmRights, String 

rightsPath, String contentPath); 

android.drm 包 还 提供 一 些 其 他 的 实用 方法 , 可 从 如 下 链接 当中 查看 该 软件 包 (https:// 
developer.android.com/reference/android/drm/packagesummary.html) 以 获得 所 有 可 用 方法 。 


55 js 结 


本 章 涵盖 了 数据 安全 的 基础 知识 。 讨 论 了 数据 安全 的 3 个 核心 原则 ， 即 保密 性 、 完 0 
整 性 和 可 用 性 。 接 着 使 用 一 些 实例 试图 描绘 资产 、 危 险 和 攻击 场景 的 蓝图 。 试 图 评估 与 
安全 缺口 相关 的 成 本 。 数 据 存储 选项 和 计划 在 确保 数据 安全 上 花费 的 时 间 、 精 力 和 人 金钱 
的 总 数 将 取决 于 这 一 分 析 。 在 移动 生态 系统 反映 整体 和 端 到 端的 安全 在 移动 环境 意味 着 
什么 。 这 种 情况 下 不 难 发 现 , 仅 需要 去 控制 好 自己 所 编写 的 应 用 程序 。 最后, 以 对 Android 
的 DRM 架构 和 可 用 功能 的 回顾 结束 本 章 的 内 容 。 运用 有 关 数 据 安全 的 所 有 知识 , 接 下 来 
将 会 进入 到 第 6 章 ， 去 学 习 应 用 程序 开发 者 可 以 用 来 保护 用 户 数据 安全 的 各 种 工具 。 
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为 了 尊重 用 户 隐私 ， 处 理 敏感 数据 的 应 用 程序 需要 保护 这 些 数 据 不 被 帘 视 。 虽 然 
Android 软件 堆 提 供 了 分 层 的 安全 体系 , 但 这 依赖 于 操作 系统 本 身 的 安全 性 。 在 那些 易 获 
得 root 权限 的 设备 上 ， 在 设备 上 存储 的 数据 安全 就 无 法 保证 了 。 因 此 应 用 程序 开发 人 员 
应 当 认 识 这 些 安全 工具 的 重要 性 ， 利 用 它们 来 安全 地 存储 数据 ， 同 样 重要 的 是 了 解 如 何 
利用 它们 来 正确 地 传输 数据 。 

Android 软件 堆 提供 了 多 种 安全 工具 ， 开 发 人 员 可 以 用 来 执行 诸如 加 密 / 解 密 、 散 列 、 
生成 随机 数 和 消息 鉴别 码 等 安全 任务 。 在 软件 堆 中 有 各 种 软件 包 用 于 提供 的 加 密 API。 
例如 , javax.crypto 提供 的 API 可 以 用 来 加 密 和 解密 消息 , 并 生成 消息 鉴别 码 和 关键 协议 。 
java.util.Random 提供 随机 数 的 生成 ，java.security 包 提供 了 用 于 散 列 、 密 钥 生 成 和 证 书 管 
理 的 API。 

本 章 将 讨论 Android 软件 堆 提 供 的 、 可 供应 用 程序 开发 人 员 用 于 保护 敏感 信息 的 各 种 
加 密 API。 首 先 会 从 加 密 中 使 用 的 基本 术语 开始 ， 了 解 信息 产生 的 安全 性 。 接 下 来 将 学 
习 散 列 函数 和 随机 数 生 成 。 最 后 讨论 非 对 称 与 对 称 密 钥 加 密 算法 和 不 同 的 加 密 模式 以 及 
消息 鉴别 码 。 


6.1 术语 


首先 来 了 解 一 些 密码 学 中 使 用 的 术语 。 在 随后 的 章节 当中 将 会 反复 使 用 到 这 些 术语 ， 
所 以 在 继续 后 面 讨 论 之 前 必须 要 先 熟悉 这 些 术语 。 

口 “ 加 密 《〈Cryptography) : 加 密 是 对 不 安全 的 环境 进行 安全 通信 的 研究 与 实践 。 随 
着 如 今生 活 越 来 越 数字 化 和 互联 网 化 ， 加 密 技 术 越 来 越 受 重视 。 加 密 算法 和 协 
议 其 实 就 是 基于 数学 上 难 解 问题 的 计算 机 实现 。 

口 ”明文 (Plaintext) : 也 称 为 cleartext。 明 文 是 消息 发 送 者 想 要 传送 但 又 不 希望 第 
三 方 知 道 的 内 容 。 如 果 爱 丽 丝 想 发 送 消息 “Hello World” 给 鲍 勃 ， 那 么 “Hello 
World” 就 是 明文 。 

口 密 文 (Ciphertext) : 也 称 为 codetext。 是 明文 经 过 编码 或 加 密 后 发 给 接收 者 的 
消息 。 接 着 前 面 的 例子 ， 爱 丽 丝 想 向 鲍 勃 发 送 消息 “Hello World”。 此 时 ， 爱 
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丽 丝 使 用 了 替换 法 ， 其 中 每 个 字母 被 替换 成 下 一 个 字母 形成 密 文 。 所 以 ， 明 文 
“Hello World” 现 在 变 成 了 “Ifmmp Xpsme”。“Ifmmp Xpsme” 就 是 传 给 鲍 勃 
的 密 文 。 

加 密 (Encryption〉: 加 密 是 将 明文 转换 为 密 文 的 过 程 ， 这 样 信息 传输 或 存储 过 
程 中 就 不 会 被 窃取 者 破译 ， 只 有 自动 解密 方法 的 当事人 可 以 理解 它 。 在 前 面 的 
例子 中 将 “Hello World” 转 换 为 “Iftmmp Xpsme” 的 过 程 称 为 加 密 ， 如 图 6-1 
所 示 。 


Plainte | Ciphertext 


Move each alphabet 
one place forward 


图 6-1 


解密 〈Decryption) : 解密 是 加 密 的 道行 为 。 这 是 在 接收 端 将 密 文 转 换 回 明文 信 
息 的 过 程 。 因此， 上 例 中 转换 的 “Ifmmp Xpsme” 还 原 为 “Hello World” 的 过 程 
称 为 解密 ， 如 图 6-2 所 示 。 


Tfimmp Xpsme Hello World 


Ciphertext Plaintext 


图 6-2 


密 钥 (Key) : 在 密码 学 中 ， 密 钥 是 关键 性 信息 或 者 数学 参数 ， 该 信息 决定 了 加 
密 算法 的 输出 部 分 。 在 前 面 的 例子 中 ， 当 “Hello World” 转 换 为 “Ifmmp Xpsme” 
时 ,关键 信息 就 是 将 每 个 字母 用 其 相 邻 的 字母 蔡 代 〈 即 字母 值 加 1) ， 这 就 是 密 
钥 。 在 解密 过 程 中 ， 关 键 信息 是 将 每 个 字母 减 1， 这 是 解密 的 密 钥 。 

加 密 算法 Cipher) : 加 密 算法 是 对 消息 进行 加 密 和 解密 的 方法 ， 也 被 称 为 
cryptographic algorithm。 在 前 面 的 示例 中 ， 加 密 算法 就 是 将 “Hello World” 转 换 
成 “Ifmmp Xpsme”， 然后 在 接收 端 将 “Ifmmp Xpsme” 转 回 到 “Hello World”。 
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6.2 ”安全 provider 


由 于 安全 provider 受到 了 关注 ,因此 Android 软件 堆 就 变 得 可 以 自由 定制 。 这 意味 着 


设备 制造 商 可 以 添加 自己 的 加 密 provider。 作 为 应 用 程序 开发 人 员 ， 可 以 自 


由 地 选择 使 用 


安全 库 。Android 软件 堆 只 内 置 了 精简 版 的 Bouncy Castle 安全 provider，Spongy Castle 库 
是 目前 最 受 欢 迎 的 安全 库 。 同时 , 不 同 版 本 的 Android 软件 堆 通过 删除 不 安全 的 密码 算法 
并 添加 新 的 方法 ， 以 保持 更 新 加 密 能 力 。 因 此 需要 定时 检查 这 些 安全 provider 的 更 新 列 
表 并 定时 更 新 。 另 外 ， 一 定 要 在 不 同 的 设备 上 对 应 用 程序 进行 测试 ， 以 确保 加 密 算 法 按 


预期 工作 。 


下 面 的 代码 段 演 示 了 如 何 通过 调用 java.security.Providers 方法 获取 加 密 provider 列 


表 ， 详 细 信 息 如 图 6-3 所 示 。 


for (Provider provider: Security.getProviders()) { 
System.out.println (provider.getName ()); 
| 


platform-tools 一 adb — 140x7 


D/dalvikvm( 22 | EXPLICIT freed <1K, 4% free 9932K/9347K，paused 3ms+13ms 
I/System.out( ): Android0penSSL 


I/System. out( : DRLCertFactory 
I/System, out( 

I/System.out( : Crypto 
/System.out( 598): Harmony]SS 


图 6-3 
现在 可 以 通过 如 下 函数 了 解 每 个 provider 的 详细 信息 : 


for (Provider provider: Security.getProviders()) { 
System.out.println (provider.getName ()); 
for (String key: provider.stringPropertyNames()) { 


System.out.println("\t" + key +"\t" + provider.getProperty (key)); 


J 
图 6-4 的 屏幕 截图 显示 了 一 些 安全 provider 的 详细 信息 。 


切记 总 是 使 用 知名 行业 标准 加 密 算 法 。 自 行 编写 一 个 加 密 程 序 听 起 来 有 趣 又 容易 ， 
但 是 实际 上 要 比 想象 当中 更 加 困难 重重 。 知 名 的 行业 标准 算法 都 是 由 加 密 算法 专家 研发 
并 进行 彻底 的 测试 的 ， 如 果 这 些 算 法 被 发 现任 何 漏洞 并 公之于众 ， 那 么 开发 人 员 就 会 更 


新 他 们 的 代码 来 修补 。 
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L/Systes.out( 539): DRLCertFactory 

I/System.out( 539): Provider.id classNane org.apache.haraony.security.provider.cert.DRLCertFactory 
/System,out( 539):; CertiticateFactory,X589 org,apache,harsony,security,provider.cert.X509CertFactoryInpl 
I/System.out( 539): Provider,id version 1.8 

I/System.out( 539); Provider,id info ASN.1, DER, PkiPath, PKCS7 

I/System.out( 539): Provider.id name DRLCertFactory 

I/System.out( 539): Alg.Alias.CertificateFactory.X.589 X509 

/System.out( 539): 

I/System.out( 539): 。 ALg.Atias.ALgorithmparameters.1.2.849.113549.1.12.1.1 PKCS12PBE 

I/System.out( 539): Alg.Alias.Mac.1.2.840.113549.2.9 HMACSHA256 

I/System.out( 539): Alg.Alias.Signature.MDSwithASA NDSWithRSAEncryption 

L/Systea.out( 539): Alg.Aliss.Signature.SHA3G4wItNRSA SHA3B4WITNRSAEnCrypt Lon 

I/System.out( 539): Alg.Alias.Algorithaparaneters.1.2.848.113549.1.12.1.4 PKCS12PBE 

I/System.out( 539): Alg.Alias. 5 SC| PKCS12pBE 
I/System.out( 539): Alg.Alias. .1.12.1.5 PKCS12PBE 


nm 
.2 PKCS12PBE 

Alg.Alias. Algoritha he: le 2.1.42 PKCS12PBE 

Alg.Alias.Algorithar 1 je -3 PKCS12PBE 


:Cipher.PBEWITHSHAANDABBITRC4 。 com.android.org.bouncycastte-jce.provtder.JCEStreamCipher$PBEWithSHAAnd48BitRC4 
1/Systen.out( :Alg.Alias.Signatur .3.2.2| .849.113549.1-1.1 SHA1WIthRSAEnc rypt ion 

I/Systen. out( :Alg.Alias.Algorither 1 3549.1.12.1.6 PKCS12PBE 

I/Systen.out( + Alg.Alias,Secretke, a 3KeyTripleDES PBEWITHSHAAND3-KEYTRIPLEDES-CBC 

I/Systea. out( :Alg.Alias.Mac.1.2. 

L/Systen. out{ 1 Alg.Alias,Signature,1,3.14,3.2.26with1.2.840,113549.1.1.5 SHA1WItNRSAENc ryption 

V/sSystes.out( Cipher.RSA com,android,org, bouncycast le, jce,provider, JCERSACipher$NoPadding 

/Systen. out( : Alg.Alias.Signature, SHASI2WITHRSAENCAYPT; SHA512MithRSAEncryption 

/Systen,out( :1 Alg.Alias,Mac.HMAC-SHA384 HMACSHA384 

1/Systen. out( :Alg.Alias.CertpathBuilder.RFC3280 PKIX 

1/Systen, out( ;KeypairGenerator,Dl com-android,org,bouncycastte,jce.provider,JDKKeypairGeneratorSDll 

I/Systen.out( :Signature,SHA384WithRSAEncryption com.android.org.bouncycastle, jce.provider. JOKDigestSignaturesSHA384WithRSAEn 
eryption 


图 6-4 
6.3 随机 数 生 成 


随机 数 生成 是 密码 学 中 最 重要 的 任务 之 一 。 随 机 数 作为 其 他 加 密 函 数 的 种 子 ， 如 加 
密 或 生成 消息 鉴别 码 。 模 拟 真 正 的 随机 数 生成 是 很 困难 的 ， 因 为 它 来 自 大 自然 的 不 可 预 
知 的 行为 。 计 算 机 系统 生成 伪 随 机 数 ， 看 起 来 是 随机 的 ， 但 不 是 真正 的 随机 。 
生成 随机 数 有 两 种 方法 : 伪 随 机 数 生成 器 〈Pseudo Random Number Generators， 
PRNG) 和 真 随机 数 生成 器 〈True Random Number Generators，TRNG) 。PRNG 由 基于 
某 些 数学 公式 的 算法 生成 。TRNG 基于 系统 特征 , 如 中 央 处 理 器 (Central Processing Unit， 
CPU) 周期 、 时 钟 、 噪 声 和 按键 等 。Trinity College 的 Mads Haahr 博士 做 了 个 网 站 
www.random.org， 这 对 于 那些 对 随机 性 感 兴趣 的 人 来 说 是 一 个 非常 有 趣 的 站 点 ， 建 议 有 
志 之 士 前 去 观看 ! 
随机 数 应 用 范围 很 广 ， 其 中 就 包括 用 户 掷 人 般 子 、 赌 博 等 游戏 应 用 程序 、 随 机 播放 歌 
1 音乐 应 用 程序 ， 以 及 在 Hash、 加 密 、 密 钥 生 成 等 应 用 中 作为 种 子 数 等 。 并 不 是 在 所 有 
的 场景 当中 都 需要 很 强 的 随机 性 ， 如 音乐 播放 器 播放 歌曲 就 不 需要 密 钥 生 成 算法 中 那么 
强 的 随机 性 。 
Android 开发 包 中 的 java.util.Random 可 以 用 于 随机 数 生成 。Random 类 由 javautil 包 
提供 ， 它 提供 的 方法 可 以 生成 一 个 或 多 个 double、byte、 float、 int、long 等 类 型 的 随机 
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数 数组 。 这 个 类 是 线程 安全 的 。 
下 面 的 代码 演示 了 如 何 生成 一 个 1 一 100 范围 内 的 随机 数 。 
int min = 17 int max = 100; 
public int getRandom(int min, int max) { 
Random random = new Random(); 
int num = random.nextInt (max - min + 1) + min; return num; } 
也 可 以 使 用 随机 种 子 来 生成 随机 数 。 不 过 , 由 于 Android 软件 堆 的 伪 随 机 数 生成 器 使 
用 系统 的 状态 作为 初始 种 子 ， 这 是 非常 难以 预测 的 ， 因 此 ， 指 定 随机 种 子 实 际 上 使 随机 
数 更 容易 预测 。 


64 散 列 函数 


散 列 函 数 是 对 任意 长 度 的 数据 的 计算 ， 以 产生 一 个 固定 长 度 的 输出 的 算法 。 给 定 相 
同 的 输入 ， 输 出 始终 是 相同 的 ;而 不 同 的 输入 值 ， 输 出 总 是 不 同 。 这 类 函数 是 单 向 的 ， 
这 也 就 意味 着 ， 对 数据 的 反 向 操作 是 不 可 能 的 。 
在 数学 上 ， 可 以 定义 单 向 散 列 函数 如 下 。 
给 定 一 个 消息 M 和 一 个 单 向 散 列 函 数 了 杏 ， 可 以 计算 出 x， 其 中 H(M)= x。 但 给 定 x 
和 吾 ， 不 能 计算 出 消息 M， 这 可 以 表示 如 下 : 
HM =x 
HG(x) z+M 
散 列 函 数 的 另 一 个 特性 是 低 碰撞 概率 。 这 意味 着 不 同 的 消息 M 基本 上 算 不 出 相同 的 
M， 可 表示 为 : 


H(M) HH(M') 

单 向 散 列 函数 可 以 用 于 各 种 应 用 程序 。 这 可 以 用 来 为 可 变 长 度 的 字符 串 创建 一 个 固 
定 大 小 输出 。 使 用 散 列 ， 一 个 值 可 以 可 靠 地 存储 为 给 定 的 散 列 ， 而 检索 原始 消息 是 不 可 
行 的， 例如 ， 取 代 存 储 密码 ， 将 密码 的 散 列 值 存储 在 表 中 。 由 于 该 散 列 值 对 于 给 定 消息 
而 言 总 是 相同 的 ， 因 此 输入 正确 的 密码 将 导致 相同 的 散 列 值 的 生成 。 它 们 被 用 作 校 验 和 |， 
以 确保 该 消息 未 在 中 转 改变 。 

目前 最 常用 的 散 列 函 数 是 MD5〈 消 息 摘要 算法 ，Message Digest Algorithm) 和 SHA 
(安全 散 列 算法 ，Secure Hash Algorithm) 系列 散 列 函数 。 这 些 散 列 函数 的 强度 和 碰撞 概 
率 不 同 , 开发 人 员 应 该 选用 一 个 最 适合 自己 应 用 程序 的 算法 。 通常 情况 下 , 使 用 SHA-256 
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是 一 个 不 错 的 选择 。 不 过 许多 应 用 程序 仍然 使 用 MD5 和 SHA-1， 就 目前 而 言 ， 这 些 被 认 
为 是 足够 安全 的 。 对 于 那些 需要 非常 高 的 安全 性 的 应 用 程序 来 说 ， 应 该 考虑 使 用 更 强 的 
散 列 函 数 ， 如 SHA-3。 表 6-1 总 结 了 一 些 常用 的 散 列 函 数 的 输出 长 度 。 


表 6-1 
散 列 函数 块 长 度 〈 单 位 : bit) 输出 长 度 (单位 :_bit) 
MD5 512 128 


SHA-1 512 160 
SHA-256 512 256 
512 


维基 百科 中 的 图 例 ( 见 图 6-5) 展示 了 在 输入 的 微小 变化 下 如 何 彻底 改变 输出 。 本 例 
当中 所 使 用 的 散 列 函数 是 SHA-1。 


Input Digest 
| 后 
hash 
function 
The red fox cryptographic 
jumps over hash 
the blue dog function 
The red fox cryptographic 
jumps over hash 
the blue dog function 
The red fox cryptographic 
jumps over hash 
the blue dog function 
The red fox cryptographic 
jumps over hash 
the blue dog function 
图 6-5 


散 列 功能 由 java.security 包 的 java.security.MessageDigest 类 提供 。 下 面 的 代码 片段 展 
示 了 如 何 使 用 这 个 类 来 创建 一 个 字符 串 s 的 SHA-256 散 列 。update 方法 负责 更 新 字 节 摘 
要 ，digest 方法 则 负责 创建 最 终 摘要 。 

final MessageDigest digest = MessageDigest.getInstance ("SHA-256"); digest. 


update (s.getBytes () ) 7 
byte messageDigest[] = digest.digest(); 


“80 Android 应 用 程序 安全 


6.5 公 和 钥 加 密 


公 钥 加 密 是 使 用 两 个 密 钥 的 加 密 系 统 : 一 个 用 于 加 密 ， 另 一 个 用 于 解密 。 其 中 一 个 
密 钥 是 公开 的 ， 而 另 一 个 将 保密 。 

公 钥 加 密 常 用 于 两 种 场景 : 一 是 用 于 保密 ， 二 是 用 于 身份 验证 。 在 保密 的 情况 下 ， 
发 送 方 使 用 接收 方 的 公 钥 加 密 消息 并 将 其 发 送 。 因 为 接收 机 拥有 私 钥 ， 接 收 机 使 用 私 钥 
解密 消息 。 

在 身份 验证 的 情况 下 作为 数字 签名 ， 发 送 方 使 用 自己 的 私 钥 加 密 消息 〈 在 大 多 数 用 
例 ， 这 是 加 密 消 息 的 散 列 而 不 是 整个 消息 的 ) 并 使 其 可 用 。 任 何 拥有 公开 密 钥 的 人 都 可 
以 访问 它 并 能 确认 该 消息 来 自发 送 人 。 

图 6-6 展示 了 这 两 种 场景 。 


Intemet 


Receiver’s Public Key 


Confidentialityusing Public Key Cryptography 


Intermet 


Senders Public Key 


Authentication using Public Key Cryptography 


图 6-6 
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在 随后 的 内 容 当 中 将 讨论 两 种 常见 的 公 钥 加 密 算法 :RSA 加 密 和 验证 ,Diffie-Hellman 


6.5.1 RSA 


由 其 发 明 者 Ron Rivest、Adi Shamir 和 Leonard Adleman 的 名 字 命 名 的 RSA 算法 ， 
是 一 种 基于 公 钥 的 加 密 算法 。RSA 的 安全 性 是 基于 因 式 分 解 两 个 大 素数 。 算 法 本 身 不 是 
秘密 ， 公 钥 也 不 是 秘密 ， 只 有 素数 是 秘密 。 

基于 所 需 的 强度 ， 使 用 RSA 密 钥 的 长 度 可 以 是 512、1024、2048 或 4096 位 。 目 前 
2048 位 密 钥 被 认为 是 足够 强大 的 。RSA 是 非常 缓慢 的 ， 所 以 应 该 避免 使 用 它 来 加 密 大 型 
数据 集 。 要 注意 的 是 ， 使 用 RSA 加 密 消息 的 长 度 不 能 超过 弹性 模 量 的 长 度 〈 两 个 质数 乘 
积 的 长 度 ) 。 由 于 RSA 实在 是 慢 ， 通 常 的 做 法 是 先 对 明文 进行 对 称 密 钥 加 密 ， 然 后 用 
RSA 加 密 对 称 密 钥 。 

RSA 既 可 以 作为 加 密 也 可 以 作为 验证 的 数字 签名 使 用 。 其 中 使 用 RSA 的 3 个 主要 操 
作 如 下 。 


1， 密 钥 生 成 

实施 RSA 的 第 一 步 是 生成 密 钥 。 在 Android 系统 当中 ， 可 以 通过 使 用 java.security. 
KeyPairGenerator 类 来 实现 ， 下 面 的 代码 片段 展示 了 如 何 生成 一 个 2048 位 的 密 钥 对 。 

KeyPairGenerator keyGen = KeyPairGenerator.getInstance ("RSA"); keyGen. 

initialize(2048) ; KeyPair key = keyGen.generateKeyPair(); 

如 果 密 钥 已 生成 ， 还 需要 提取 私 铀 和 公 铀 ， 可 以 用 java.security.KeyFactory 类 提取 公 
钥 和 私 钥 ， 如 下 所 示 : 


KeyFactory keyFactory = KeyFactory.getInstance ("RSA"); 
keyFactory. generatePublic(keySpecs); 


2. 加 密 
私 钥 和 公 钥 都 可 以 用 于 加 密 和 解密 ， 这 具体 还 要 看 使 用 的 场景 。 下 面 的 代码 片段 使 
接收 方 的 公 钥 对 数据 加 密 。 这 个 例子 紧 接 之 前 的 方法 调用 java.security.KeyPairGenerator 
类 生成 一 个 密 钥 对 ， 它 使 用 了 java.security.Cipher 类 来 初始 化 密码 并 执行 操作 。 
private String rsaEncrypt (String plainText) { 
Cipher cipher = Cipher.getInstance ("RSA/ECB/PKCS1lPadding"); 


PublicKey publicKey = key.getPublic(); 
ipher .init (Cipher .ENCRYPT MODE, publicKey); 
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byte [] cipherBytes = cipher.doFinal (PlainText.getBytes () ) 
String cipherText = new String (cipherBytes, "UTF8") -toString(): 
return cipherText; 

} 

3. 解密 

解密 是 加 密 的 反 操作 。 下 面 的 代码 演示 了 如 何 使 用 私 钥 来 解密 数据 。 紧 接 之 前 的 例 

子 ， 发 送 方 使 用 接收 方 的 公 钥 加 密 消 息 ， 然 后 接收 方 用 自己 的 私 钥 来 解密 。 

private String rsaDecrypt (String cipherText) { 
Cipher cipher = Cipher.getInstance ("RSA/ECB/PKCS1Padding"); 
PrivateKey privateKey = key.getPrivate(); 
Cipher.init (Cipher.DECRYPT MODE, privateKey); 
byte [] plainBytes = cipher.doFinal (cipherText.getBytes()); 
String plainText = new String(plainBytes, "UTF8") .toString(); 
return plainText; } 


4. 填充 


可 能 已 经 注意 到 了 ， 在 前 面 的 例子 中 ， 加 密 初 始 化 时 调用 了 PKCS1Padding。 接 下 来 
谈 一 谈 填 充 (padding) 。RSA 算法 没有 随机 组 件 ， 这 意味 着 相同 的 明文 用 同一 密 钥 加 密 
时 会 得 出 相同 的 密 文 。 这 个 特性 会 导致 选择 明文 攻击 。 对 明文 进行 加 密 之 前 ， 通 常用 随 
机 数据 进行 填补 。 公 和 钥 加 密 标准 (PKCS#1，Public Key Cryptography Standard) 由 RSA 
实验 室 发 布 ， 用 于 在 明文 嵌入 结构 化 的 随机 数据 。 后 来 证 明 ， 甚 至 采用 PKCS # 1 填充 都 
不 足以 避免 自 适 应 选择 明文 攻击 。 这 是 一 种 选择 密 文 攻击 ， 基 于 第 一 组 解密 密 文 的 结果 
选择 子 串 加 密 。 为 了 应 对 这 些 类 型 的 攻击 ， 建 议 采 用 PKCS#1 v1.5。 另 一 种 填充 算法 ， 
可 用 光学 非 对 称 加 密 填充 (Optical Asymmetric Encryption Padding，OAEP) 。 

在 本 例 中 可 能 会 注意 到 其 中 使 用 了 密码 块 链接 〈Cipher Block Chaining，CBC) 作为 
参数 。 这 种 模式 将 会 在 随后 的 章节 当中 进行 讨论 。 


6.5.2 ”Diffie-Hellman 算法 


1976 年 ， 由 Whitefield Diffie 和 Martin Hellman 发 表 的 Diffie-Hellman 算法 是 最 流行 
的 密 钥 交 换算 法 。 该 算法 的 优点 在 于 双方 能 够 通过 不 安全 的 通道 独立 生成 密 钥 而 无 须 交 
换 密 钥 。 该 密 钥 可 以 在 随后 的 对 称 加 密 中 使 用 。 

Diffie-Hellman 算法 不 对 双方 进行 身份 验证 ， 因 此 容易 受到 中 间 人 攻击 ， 窃 听 者 在 通 
讯 双方 的 中 间 ， 分 别 向 一 方 伪 装 另 一 方 。 从 维基 百科 摘 来 的 示意 图 ( 见 图 6-7) 非常 形象 
地 解释 了 前 面 爱 丽 丝 和 鲍 勃 双方 进行 信息 交流 的 Diffie-Hellman 交换 过 程 。 


第 6 章 您 的 工具 一 加 密 API “83 


Alice 
下 导 Common paint 
| Secret colours | 
ES 


E 一 全 ES 
[2 Public transport = 
0 (assume EE 
that mixture separation 
is expensive) 


Secret colours ED 


Common secret [| 


图 6-7 


下 面 的 代码 演示 了 实现 生成 密 钥 对 的 范例 。java.security.KeyPairGenerator 类 是 用 于 
基于 DH 参数 生成 密 钥 对 。 接 着 ， 将 javax.crypto 类 用 于 生成 密 钥 协议 。 


// DH params 

BigInteger g = new BigInteger ("0123456789", 16); 

BigInteger p = new BigInteger ("0123456789", 16); 

DHParameterSpec dhParams = new DHParameterSpec(p, 9g); 

// Generate Key pair 

KeyPairGenerator keyGen = KeyPairGenerator.getInstance ("DH"); 

keyGen. initialize (dhParams, new SecureRandom()); 

// Generate individual keys 

KeyAgreement aKeyAgree = KeyAgreement .getInstance ("DH"); 

KeyPair aPair = keyGen.generateKeyPair (); aKeyAgree.init (aPair.getPrivate()); 
KeyAgreement bKeyAgree = KeyAgreement .getInstance ("DH"); 

KeyPair bPair = keyGen .generateKeyPair(); bKeyAgree.init (bPair.getPrivate()); 
// Do the final phase of key agreement using other party's public key 
aKeyAgree.doPhase (bPair.getPublic(), true); 

bKeyAgree.doPhase (aPair. getPublic(), true); 


6.6 对称 密 钥 加 密 


对 称 密 钥 加 密 技术 是 基于 双方 使 用 同一 个 安全 密 钥 ， 即 加 密 和 解密 使 用 相同 的 密 钥 ， 
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如 图 6-8 所 示 。 和 公 钥 加 密 算法 相 比 , 有 一 个 问题 要 解决 一 一 需要 通过 某 种 方法 安全 地 交 
换 密 钥 。 如 果 窃 听 者 获取 到 了 密 钥 ， 就 会 失去 系统 安全 。 


Receiver 


ertext text 


Secret Key Secret Key 


图 6-8 

加 密 / 解 密 大 量 数 据 时 ， 对 称 密 钥 加 密 远 快 过 公 钥 加 密 ， 而 且 被 认为 是 最 好 的 。 对 称 
密 钥 算法 基于 安全 密 钥 的 长 度 。 
6.6.1 流 密码 

流 密码 是 一 种 对 称 密 钥 加 密 ， 其 中 每 个 数据 位 或 字 节 分 别 与 称 为 密 钥 流 的 随机 比特 
流 进行 对 称 密 钥 加 密 。 一 般 地 , 每 个 位 或 字 节 的 数据 与 密码 流 进行 异 或 (XORed, Exclusive 
OR) 。 密 钥 流 的 长 度 与 数据 的 长 度 是 一 致 的 。 流 密码 的 安全 性 取决 于 密 钥 流 的 随机 性 。 
如 果 相同 的 密 钥 流 被 用 于 加 密 多 个 数据 集 ， 则 该 算法 漏洞 可 能 就 会 被 识别 和 利用 。 图 6-9 
演示 了 流 密码 的 过 程 。 


Sender Receiver 


Plaintext a Tt Cipherte Plain 
Bits t xtBits text 


Key Stream Key Stream 
Generator Generator 


图 6-9 


使 用 流 密码 的 最 佳 场景 是 数据 长 度 可 变 ， 如 WiFi 或 者 是 加 密语 音 数 据 ， 它 们 也 易于 
在 硬件 中 实现 。 使 用 流 密码 技术 算法 的 一 些 实例 包括 RC4 A5/1、A5/2、Helix。 
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由 于 密 钥 和 数据 长 度 一 致 ， 在 流 密码 的 密 钥 管理 方面 会 出 现 一 些 问题 。 
6.6.2 ”分 组 密码 


在 分 组 密码 情况 下 ， 一 个 数据 块 用 密 钥 进行 加 密 一 次 。 明 文 分 为 固定 长 度 的 块 ， 每 
个 块 被 单独 加 密 。 图 6-10 显示 了 分 组 密码 的 基本 思路 。 每 个 明文 分 割 成 固定 的 数据 块 ， 
如 果 块 不 能 均匀 划分 ， 它 们 被 填充 以 一 组 标准 的 比特 集 ， 使 它们 的 长 度 一 致 。 每 块 用 密 
钥 加 密 后 生产 一 个 固定 长 度 的 加 密 块 。 


Intemet 


图 6-10 


分 组 密码 的 问题 在 于 ， 如 果 重 复 相 同 的 数据 块 ， 则 输出 总 是 相同 的 。 另 一 个 问题 是 ， 
如 果 一 个 块 在 传输 过 程 中 被 丢失 ， 是 没有 办 法 来 确定 该 块 已 丢失 的 。 各 种 块 加 密 模 式 已 
经 被 设计 成 帮助 解决 前 面 提 到 的 问题 。 块 密码 被 广泛 应 用 于 各 种 加 密 算法 当中 , 如 AES、 
DES、 RC5 和 Blowfish。 

由 于 明文 分 割 成 块 ， 常 见 情 况 是 最 后 一 块 将 没有 足够 的 比特 来 填补 。 在 这 种 情况 下 ， 
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最 后 一 块 会 添加 额外 的 比特 来 达到 所 需 的 长 度 。 这 个 过 程 被 称 为 填充 。 
6.6.3 ”分 组 密码 模式 

在 块 密码 模式 当中 ， 明 文 划分 成 块 ， 每 个 块 使 用 相同 的 密 钥 进行 加 密 。 接 下 来 对 实 
现 分 块 加 密 的 一 些 技术 进行 讨论 。 这 些 模式 可 以 用 对 称 加 密 ， 也 可 以 用 非 对 称 加密 ， 例 如 


RSA。 但 在 实践 中 , 大 量 的 数据 很 少 使 用 非 对 称 密码 加 密 ， 因 为 这 个 过 程 往往 是 很 缓慢 的 。 
1. 电子 密码 本 〈Electronic Code Book，ECB) 


在 ECB 模式 中 ， 明 文 被 分 成 块 ， 每 个 块 独立 地 使 用 密 钥 进行 加 密 。 这 种 模式 很 容易 


实现 并 行 化 ， 因 此 效率 会 很 高 。 此 模式 不 隐瞒 明文 的 特征 ， 所 以 相同 的 数据 块 将 产生 相 
同 的 密 文 ， 但 攻击 者 可 以 修改 或 窃取 明文 ， 而 发 件 人 是 不 知道 的 。 
图 6-11 显示 了 如 何在 ECB 模式 实现 加 密 和 解密 。 
Plaintext Plaintext Plaintext 
ET GE 
tw» 要] | | 要 
Ciphertext Ciphertext Ciphertext 
Electronic Codebook (ECB) mode encryption 
Ciphertext Ciphertext Ciphertext 
EELEELED Co 
| eo | wos ome | res ee 
Plaintext Plaintext Plaintext 
Electronic Codebook (ECB) mode decryption 


图 6-11 
下 面 的 代码 演示 了 如 何 用 初始 化 ECB 模式 的 RSA 加 密 。 
Cipher cipher = Cipher.getInstance ("RSA/ECB/PKCS1lPadding"); 
类 似 地 ， 初 始 化 ECB 模式 的 AES 对 称 加 密 ， 可 以 使 用 下 面 的 代码 。 
Cipher cipher = Cipher.getInstance ("AES/ECB"); 


2. 密码 块 链接 (Cipher Block Chaining，CBC) 
在 CBC 模式 中 ,每 块 明文 与 前 一 组 密 文 进行 异 或 操作 后 再 进行 加 密 。 这 种 模式 改正 
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了 ECB 模式 的 两 个 缺点 。 与 先前 的 明文 块 进行 异 或 操作 隐藏 了 在 明文 的 任何 特征 ;除了 
第 一 个 和 最 后 一 个 密 文 块 ， 如 果 其 他 块 丢失 或 被 算 改 ， 接 收 端 很 容易 检测 到 它 。 

图 6-12 说 明了 CBC 模式 明文 块 的 加 密 和 和 解密。 注意 ， 使 用 一 个 初始 化 向 量 (Initialization 
Vector，IV) 来 增加 第 一 块 的 随机 性 。IV 是 一 个 随机 组 ， 与 第 一 块 进行 位 异 或 操作 。 
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图 6-12 

下 面 的 代码 演示 了 如 何 初始 化 CBC 模式 的 RSA 加 密 。 

Cipher cipher = Cipher.getInstance ("RSA/CBC/PKCS1lPadding"); 

同样 ， 初 始 化 一 个 CBC 模式 AES 对 称 加 密 ， 可 用 下 面 的 代码 。 

Cipher cipher = Cipher.getInstance ("AESVCBC") 7 

3. 密码 反馈 链接 (Cipher Feedback Chaining，CFB) 

在 CFB 模式 中 ， 先 前 密 文 首先 加 密 ， 然 后 与 明文 异 或 产生 密 文 。 该 模式 也 隐藏 了 明 
文 特征 ， 并 且 每 一 个 块 的 加 密 依 赖 于 上 一 个 密 文 块 。 这 使 得 在 块 传输 过 程 中 可 以 实现 跟 
踪 和 完整 性 校 验 。 同 样 地 ， 在 第 一 个 块 当中 使 用 了 初始 化 向 量 〈IV) ， 如 图 6-13 所 示 。 

下 面 的 代码 演示 了 如 何 用 CFB 模式 来 初始 化 RSA 加 密 。 


Cipher cipher = Cipher.getInstance ("RSA/ECB/PKCS1lPadding"); 


类 似 地 ， 初 始 化 CFB 模式 的 AES 对 称 加 密 算法 ， 可 以 使 用 下 面 的 代码 。 


Cipher cipher = Cipher.getInstance ("AES/CFB"); 
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图 6-13 
4. 输出 反馈 模式 (Output Feedback Mode，OFB) 


OFB 模式 类 似 于 CFB 模式 ， 除 了 作为 同步 流 密 码 异 或 密 文 以 外 ， 这 其 中 的 一 个 比特 
的 错误 仅 影响 一 个 比特 而 不 是 整个 块 。 再 次 ， 一 个 初始 化 向 量 CIV) 用 于 种 子 的 过 程 如 
图 6-14 所 示 。 
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图 6-14 
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下 面 的 代码 演示 了 如 何 用 OFB 模式 初始 化 RSA 加 密 。 


Cipher cipher = Cipher.getInstance ("RSA/OFB/PKCSlPadding"); 
类 似 地 ， 初 始 化 OFB 模式 的 AES 对 称 加 密 算法 ， 可 以 使 用 下 面 的 代码 。 


Cipher cipher = Cipher.getInstance ("AES/OFB"); 
6.6.4 ”高 级 加 密 标准 


高 级 加 密 标准 (Advanced Encryption Standard，AES) 是 目前 最 流行 的 块 对 称 加 密 算 
法 ， 它 比 其 他 常见 块 对 称 加 密 算法 安全 得 多 ， 诸 如 DES 和 DES3。 该 算法 把 明文 划分 为 
128 位 固定 大 小 的 块 ， 密 钥 可 以 是 128 位 、192 或 256 位 密 钥 。AES 的 运行 速度 快 ， 内 存 
需求 低 。Android 的 磁盘 加 密 就 是 使 用 AES128 位 加 密 的 ， 主 密 钥 也 是 AES 128 位 加 密 的 。 
下 面 的 代码 片段 演示 如 何 生 成 128 位 AES 密 钥 。 


//Generate individual keys 

Cipher cipher = Cipher.getInstance ("AES"); 
KeyGenerator keyGen = KeyGenerator.getInstance ("AES"); 
generator.init (128); 

Key secretKey = keyGen.generateKey(); 

byte[] key = skey.getEncoded(); 


接 下 来 ， 下 面 的 代码 演示 如 何 用 AES 密 钥 加 密 明 文 。 


byte[] plaintext = "plainText".getBytes (); 
SecretKeySpec skeySpec = new SecretKeySpec (raw, "AES"); 
Cipher cipher = Cipher.getInstance ("AES"); 

cipher.init (Cipher.ENCRYPT MODE, skeySpec); 

byte[] cipherText = cipher.doFinal (plainText); 


完成 上 例 后 ， 可 以 使 用 下 面 的 代码 进行 AES 解密 。 


SecretKeySpec skeySpec = new SecretKeySpec (raw, "AES"); 
Cipher cipher = Cipher.getInstance ("AES"); 
cipher.init (Cipher .ENCRYPT MODE, skeySpec); 

byte[] encrypted = cipher.doFinal (cipherText); 


6.7 消息 鉴别 码 


消息 鉴别 码 (Message Authentication Code，MAC ) 是 附加 到 消息 后 的 标签 或 校 验 和 ， 
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以 确定 其 真实 性 和 完整 性 。 鉴 别 是 通过 密 钥 加 密实 现 ， 对 消息 的 意外 或 故意 的 改变 提 
供 完 整 性 验证 。 图 6-15 说 明了 MAC 的 工作 原理 。 


03] Message is comrupted 


图 6-15 

MAC 可 以 使 用 不 同 的 方法 生成 : 用 一 次 性 填充 或 一 次 性 密 钥 、 散 列 函 数 、 流 密码 等 ， 
还 可 以 通过 使 用 分 组 加 密 和 输出 最 终 块 作为 校 验 和 。CBC 模式 DES 就 是 采用 最 后 一 个 方 
法 的 。 

用 散 列 函数 创建 消息 鉴别 码 称 为 散 列 消息 鉴别 码 (Hashed MAC，HMAC) 。 这 个 散 
列 值 用 对 称 密 钥 加 密 后 附 到 该 消息 末 。 这 是 生成 MAC 的 最 流行 的 方法 。 一 些 这 类 MAC 
的 例子 是 用 SHA-1 的 AES 128 和 AES 256。 

Android 通过 javax.crypto.Mac 类 来 提供 生成 HMAC。 下 面 的 代码 片段 展示 了 如 何 生 
成 一 个 SHA-1 摘要 。 


String plainText = "This is my test string."; 
String key = "This is my test key."; 
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Mac mac = Mac.getInstance ("HmacSHR1") 7 

SecretKeySpec secret = new SecretKeySpec (key. getBytes ("UTF-8"), mac. 
getAlgorithm()); 

mac.init (secret); 

byte[] digest = mac.doFinal (plainText .getBytes()); 

String stringDigest = new String(digest); 


6.8 小 结 


本 章 讨论 了 应 用 程序 开发 人 员 可 以 用 来 保护 自己 的 应 用 程序 和 用 户 数据 隐私 的 工 
具 。 还 讨论 了 生成 的 随机 数 可 以 作为 种 子 数 或 者 作为 加 密 算法 的 初始 化 向 量 。 对 诸如 
SHA-1 和 MD5 之 类 的 散 列 技术 也 进行 了 讨论 , 开发 人 员 可 以 用 散 列 值 来 存储 密码 。 散 列 
技术 也 可 以 把 大 数据 转换 为 有 限 的 和 国定 的 长 度 。 对 公共 密 钥 加 密 的 密 钥 交 换 以 及 用 诸 
如 AES 一 类 的 对 称 加 密 算法 加 密 大 数据 也 进行 了 讨论 。 此 外 ， 还 讨论 流 密码 、 分 组 加 密 
和 分 组 加 密 模式 。 大 部 分 的 算法 都 公布 有 测试 样 例 ， 并 在 网 上 提供 给 公众 进行 阅读 使 用 。 
开发 人 员 可 以 测试 这 些 算法 对 这 些 测 试 向 量 的 执行 。 在 第 7 章 中 将 使 用 这 些 工 具 和 技术 
来 保护 数据 ， 了 解 如 何 确定 不 同类 型 数据 的 最 佳 存储 方案 。 
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应 用 程序 开发 人 员 的 声誉 取决 于 如 何 安全 地 处 理 用 户 的 数据 。 开 发 人 员 应 该 总 是 避 
免 在 设备 上 存储 大 量 的 用 户 数据 。 这 一 方面 是 因为 它 不 仅 占用 内 存 ， 另 一 方面 这 本 身 也 
是 一 个 巨大 的 安全 风险 。 但 是 ， 依 然 会 存在 应 用 程序 需要 共享 数据 、 缓 存 应 用 程序 首选 
项 、 在 设备 上 存储 数据 等 情况 。 这 些 数 据 可 以 是 应 用 程序 私有 的 或 者 是 与 其 他 应 用 程序 
共享 的 ， 如 用 户 的 首选 语言 或 图 书 类 别 。 这 种 应 用 程序 所 保存 的 数据 用 来 增强 用 户 体验 。 
在 应 用 程序 内 部 ， 这 些 数据 往往 是 非常 有 用 的 ， 也 不 会 与 其 他 应 用 程序 共享 。 需 要 共享 
数据 的 场景 有 可 能 是 当 用 户 浏览 商店 时 不 断 添加 收藏 到 他 的 书目 意愿 书 单 中 。 不 过 这 些 
数据 也 可 能 会 也 可 能 不 会 与 其 他 应 用 程序 共享 。 

基于 隐私 和 数据 种 类 ， 可 以 使 用 不 同 的 存储 机 制 。 应 用 程序 可 以 决定 使 用 共享 的 
配置 、Content Provider、 在 内 部 或 外 部 存储 保存 的 文件 甚至 开发 者 自己 存储 数据 的 服 
务 器 。 

本 章 首 先 从 应 用 程序 应 当 存 储 的 识别 信息 ， 以 及 如 何 决定 数据 的 存储 位 置 等 重要 问 
题 开始 。 讨 论 应 该 最 少 收集 信息 、 在 收集 敏感 信息 前 要 获得 用 户 同意 等 原则 。 接 下 来 再 
讨论 Android 存储 机 制 ， 包括 共享 的 配置 、 设 备 存 储 、 外 部 存储 器 、 在 后 台 服 务 器 上 存储 
数据 ， 以 及 讨论 安全 传输 数据 的 协议 。 最 后 以 讨论 在 外 部 存储 器 上 安装 应 用 程序 来 结束 
本 章 内 容 的 学 习 。 


7.1 数据 存储 决策 


在 一 个 应 用 程序 中 ， 有 许多 因素 会 影响 到 数据 的 存储 决策 ;它们 当中 的 大 多 数 都 是 
基于 数据 安全 方面 的 。 开 发 人 员 应 该 意识 到 如 隐私 、 数 据 保持 以 及 系统 的 实现 细节 。 这 
些 将 在 以 下 部 分 中 讨论 。 


7.1.1 隐私 


如 今 的 应 用 程序 或 多 或 少 地 都 会 收集 和 使 用 各 种 不 同类 型 的 用 户 信息 。 如 用 户 首选 
项 、 位 置 、 健 康 记录 、 财 务 账目 、 资 产 等 。 收 集 这 些 信息 应 该 慎之 又 慎 ， 并 且 要 征 得 用 
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户 的 同意 。 因 为 收集 私人 信息 可 能 导致 的 法 律 和 道德 问题 ， 可 以 称 为 侵犯 隐私 。 甚 至 是 
在 收集 这 些 信 息 时 ， 存 储 都 应 该 进行 适当 加 密 ， 并 且 保证 传输 安全 。 安 全 的 数据 存储 和 
传输 则 是 本 章 后 半 部 分 的 重点 内 容 。 

隐私 表现 为 不 同 的 形式 。 第 一 ， 它 在 不 同 的 文化 和 国家 中 表现 各 异 。 每 个 国家 都 建 
立 了 关于 个 人 验证 信息 的 法 规 或 PII。 例 如， 欧盟 有 处 理 和 传输 个 人 数据 的 数据 保护 指令 
(Data Protection Directive) ， 关 于 这 部 分 的 详细 信息 可 参阅 欧盟 委员 会 正义 理事 会 网 站 
http://ec. europa.eu/justice/data-protection/index_en.htm。 印度 关于 这 方面 的 网 络 法 律 可 以 参 
阅 http://deity.gov.in/content/cyber-laws。 美 国 遵循 部 门 数据 保护 法 ， 这 是 一 个 立法 、 监 管 
和 自律 相 结合 的 方法 。 

第 二 ， 对 于 不 同 的 用 例 有 不 同 的 法 律 。 例 如 ， 如 果 一 个 应 用 程序 与 医疗 健康 相关 ， 
则 规则 不 同 于 一 个 追踪 用 户 位 置 或 进行 金融 交易 的 应 用 程序 。 美 国 一 些 具体 法 律 的 例子 
是 美国 残疾 人 法 案 、1998 年 儿童 在 线 隐私 法 案 、1986 年 电子 通信 隐私 法 。 因 此 ， 重 要 的 
是 要 注意 与 用 例 有 关 的 规章 制度 ， 以 及 想 在 其 中 运作 的 国家 。 有 疑问 时 ， 可 以 使 用 那些 
专业 领域 的 公司 的 服务 。 例 如 ， 可 以 使 用 多 年 来 一 直 做 支付 处 理 的 支付 服务 提供 商 〈 如 
PayPal) ， 它 符合 这 个 领域 的 法 律 法 规 (如 PCI) ， 而 不 是 试图 做 出 自己 的 支付 系统 。 

第 三 ， 私 人 信息 从 一 个 国家 转移 到 另 一 个 国家 ， 也 同样 适用 于 相关 法 规 。 在 大 多 数 
情况 下 ， 其 他 国家 应 该 有 足够 的 法 律 保 护 ， 以 满足 其 他 国家 的 保护 标准 。 

例如 ， 在 《世界 人 权 宣 言 》 第 十 二 条 当中 ， 声 明 隐 私 规则 如 下 

“任何 人 的 私生活 、 家 庭 、 住 宅 和 通信 不 得 任意 干涉 ， 他 的 荣誉 和 名 誉 不 得 加 以 攻 
击 。 人 人 有 权 享 受 法 律 保护 ， 以 免 受 这 种 干涉 或 攻击 。” 

一 些 个 人 身份 信息 〈Personally Identifiable Information，PII) 的 例子 包括 姓名 、 电 子 
邮件 地 址 、 邮 寄 地 址 、 驾 驶 执照 、 选 民 登 记号 、 出 生日 期 、 母 亲 的 姓名 、 出 生地 、 信 用 
卡号 码 、 犯 罪 记录 和 身份 证 号 码 等 。 而 在 某 些 情况 下 ， 年 龄 、 性 别 、 职 位 和 种 族 可 能 
视 为 PI。 有 时 隐私 可 能 意味 着 匿名 。 

如 果 应 用 程序 正在 收集 PI， 那么 就 要 告知 用 户 并 征 得 他 们 的 同意 。 当 使 用 应 用 程序 
或 某 些 功能 可 能 需要 收集 用 户 的 敏感 信息 时 ， 可 以 为 他 们 提供 条 款 和 条 件 。 


7.1.2 数据 保留 


数据 保留 是 指 将 数据 存储 一 段 特 定 的 时 间 段 。 该 数据 用 来 追踪 和 识别 诸如 人 、 设 备 
和 位 置 等 信息 。 例 如 ， 银 行 数据 通常 是 保存 7 年 。 将 数据 保留 在 大 多 数 用 例 应 该 不 是 一 
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个 问题 ， 除 非 是 一 个 组 织 迎 合 特定 用 例 ， 如 邮政 、 银 行 、 政 府 、 电 信 、 公 共 卫生 和 安全 
部 门 等 。 在 大 多 数 情况 下 ， 必 须 定义 适当 的 访问 权限 访问 该 PT。 此外， 数据 保留 规则 对 
于 不 同 的 国家 和 不 同 的 用 例 是 不 同 的 。 


7.1.3 ”实现 决策 


当 处 理 数据 和 决定 最 安全 的 安全 机 制 时 ， 首 要 问题 是 确定 数据 将 被 保存 在 何 处 。 
再 次 回 到 书店 的 例子 。 正 如 在 第 3 章 当 中 所 叙述 的 那样 , 该 例 当中 的 数据 元 素 包 括 以 下 
方面 。 
Name (名 字 ) 
Credit card number (信用卡 号码) 
Mailing address〈 邮 件 地 址 ) 
Last author searched (上 次 搜索 的 作者 ) 
Last language searched (上 次 搜索 的 语言 
Last category searched (上 次 搜索 的 目录 ) 
Usemame (用 户 名 ) 
Password (密码 ) 
Wish list of books〔 书 籍 的 意愿 清单 ) 

基于 这 些 隐私 需求 , 为 了 进一步 分 析 前 面 的 资产 , 需要 验证 PII 的 名 字 、 信用 卡号 码 、 
邮件 地 址 和 密码 。 请 注意 ， 这 种 分 类 的 依据 也 会 因 国家 的 不 同 而 产生 变化 。 

接 下 来 是 持久 性 的 问题 。 究 竟 需 要 数据 只 能 在 应 用 程序 的 一 个 实例 可 用 ， 还 是 在 多 
个 实例 可 用 ? 需要 数据 持久 化 重 置 吗 ? 在 上 面 的 这 个 例子 中 , 希望 所 有 的 资产 被 持久 化 。 
然而 ， 如 果 用 户 首选 项 如 作者 、 类 别 和 语言 不 存在 重 置 ， 并 不 会 失去 有 价值 的 信息 ， 用 
户 可 以 再 次 选择 它们 。 

第 三 个 重要 的 任务 是 确定 数据 对 于 应 用 程序 来 说 哪些 是 私有 的 哪些 是 共享 的 。 数 据 
的 可 见 性 会 影响 随后 存储 选项 的 选择 。 

第 四 个 问题 是 数据 的 规模 。 大 文件 最 好 存储 在 外 部 存储 器 。 图 7-1 显示 了 在 一 个 典型 
的 Android 手机 设备 里 可 用 的 内 存 选项 。 

使 用 框架 提供 的 而 不 是 创造 一 个 新 的 存储 机 制 是 明智 的 。 在 随后 的 内 容 当 中 将 会 讨 
论 Android 框架 为 不 同 的 存储 需求 所 提供 的 存储 机 制 。 


DOOOOOODODO 
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人 Memory {RAM) ] 


Secondary Memory (SD Card) 


Tertiary Servers (Cloud) 


7-1 
7.2 ”用户 首选 项 


应 用 程序 通过 两 种 方式 收集 用 户 首选 项 。 在 第 一 种 情况 下 ， 一 个 应 用 程序 提供 了 一 
个 设置 屏幕 供用 户 选择 首选 项 ， 如 语言 、 每 页 显示 的 结果 数 等 。 这 样 的 首选 项 最 好 使 用 
Preference 类 存储 。 另 外 一 种 情况 是 ， 当 用 户 首选 项 通过 应 用 程序 被 选取 用 作用 户 导 航 的 
情况 下 。 例 如 ， 当 搜索 一 本 书 时 ， 用 户 选 择 一 个 特定 作者 的 书 。 应 用 程序 可 能 需要 保存 
这 样 的 首选 项 直到 下 次 用 户 登 录 。 这 样 的 用 户 首选 项 最 好 使 用 SharedPreferences 存储 。 
在 后 台 ，Preference 类 也 调用 SharedPreferences。 请 注意 ，SharedPreferences 只 保持 基本 
数据 类 型 。 


7.2.1 共享 首选 项 
SharedPreferences 类 用 于 在 一 个 键 值 对 当中 存储 基本 数据 类 型 .这些 基本 类 型 包括 整 
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型 (int) 、 长 整 型 (long) 、 布 尔 型 (Boolean) 、 浮 点 型 (float) 、 字 符 串 集 (string set) 
和 字符 串 (string) 。 数 据 存储 在 该 SharedPreferences 类 以 保持 应 用 程序 会 话 。 首 选项 文 
件 以 XML 文件 的 形式 存储 在 设备 上 的 应 用 程序 的 data 目录 中 。 该 文件 和 应 用 程序 本 身 
一 样 通过 相同 的 Linux 权限 被 沙 盒 封 装 化 (Sandboxed) 。 即 使 应 用 程序 被 停止 或 破坏 了 ， 
首选 项 文件 中 的 数据 仍然 存在 ， 只 有 当 应 用 程序 被 卸载 或 特定 的 值 被 移 走 才 使 用 
Preference 类 方法 。 

对 于 任意 形式 的 数据 存储 都 会 有 如 下 3 种 操作 : 实例 化 存储 、 存 储 数据 和 检索 数据 。 


1. 创建 一 个 首选 项 文件 
下 面 的 代码 片段 使 用 默认 的 文件 名 来 实例 化 SharedPreferences。 


SharedPreferences preferences = PreferenceManager .getDefaultSharedPreferences 
(context); 


在 这 种 情况 下 ， 该 文件 名 可 以 使 用 下 面 的 代码 被 检索 。 

String preferencesName = this.getPreferenceManager (). 

getSharedPreferencesName (); 

还 可 以 指定 首选 项 文件 的 名 称 。 在 下 面 的 例子 中 ， 该 首选 项 文件 的 名 称 被 设置 为 
MYyYPref。 

public Static final String PREF FILE = "MyPref"; 

SharedPreferences preferences = getSharedPreferences (PREF FILE, MODE 

PRIVATE); 

上 述 代码 片段 引出 了 一 个 有 关 首 选项 文件 的 可 见 性 和 共享 的 重要 讨论 。 默 认 情 况 下 ， 
所 有 首选 项 文件 对 于 创建 它 的 应 用 程序 都 是 私有 的 ,所 以 它们 的 模式 是 MODE_PRIVATE。 
如 果 一 个 首选 项 文件 需要 在 不 同 的 应 用 程序 之 间 共 享 ， 它 也 可 以 被 设置 为 MODE 
WORLD_WRITABLE 或 者 MODE WORLD READABLE, 这 些 选 项 允许 其 他 应 用 程序 分 
别 写 和 读 首选 项 文件 。 

2. 写 入 首选 项 

接 下 来 是 要 将 原始 数据 存储 到 首选 项 文件 当中 。 下 面 的 代码 片段 延续 了 之 前 的 代码 
片段 ， 展 示 了 如 何 将 数据 添加 到 首选 项 文件 中 。 这 里 需要 使 用 SharedPreferences.Editor 
类 来 存储 值 。Editor 类 的 所 有 值 都 会 被 批 处 理 并 且 需 要 将 值 提交 成 为 持久 型 。 在 接 下 来 的 
例子 中 ，MyString 是 字符 串 的 键 ， 该 键 的 值 为 “Hello World !”， 如 下 所 示 : 

SharedPreferences.Editor editor = preferences.edit (); 


editor.putstring ("MyString", "Hello World!™"); 
editor.commit () > 
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3. 读 取 首 选项 
下 一 步 是 读 取 首选 项 文件 中 的 键 值 对 。 下 面 的 代码 片段 展示 了 如 何 从 首选 项 文件 中 
String myString = preferences.getString ("MyString", ""); 
提示 : 对 于 应 用 程序 的 所 有 组 件 来 说 ，SharedPreferences 都 是 可 访问 的 。 如 果 分 别 设置 
MODE WORLD_WRITABLE 或 者 MODE WORLD READABLE, 其 他 应 用 程序 可 
以 写 和 读 首 选项 文件 。 


要 读 取 不 同 应 用 程序 的 首选 项 文件 ， 第 一 步 是 让 一 个 指针 指向 其 他 应 用 程序 的 上 下 
然后 读 取 值 。 


Context myContext = getApplicationContext () .createPackageContext ("com. 
android.example", Context .MODE WORLD RERADRBLE) 

SharedPreferences preference = 

myContext .getSharedPreferences ("MyPref",Context .MODE WORLD READABLE); 
String mMyString = preference.getString ("MyString", ""); 


+ 


7.2.2 ”首选 项 Activity 


在 蜂巢 (Honeycomb， 新 版 平板 电脑 操作 系统 ) ，Android 扩展 Preference 类 以 收集 
设置 界面 的 功能 。 这 些 值 设置 为 一 个 XML 文件 ，Activity 可 以 在 该 文件 中 扩充 。 在 后 台 ， 
Preference 类 使 用 SharedPreferences 类 存储 键 值 对 ， 这 样 的 设置 对 应 用 程序 是 私有 的 ， 并 
且 只 能 通过 某 Activity 类 访问 。 

例如 ， 要 能 够 实现 手机 铃声 的 选择 功能 ， 下 面 的 代码 必须 设置 在 res/xml 目录 下 面 的 
Preference.xml 文件 中 。 


<RingtonePreference 
android: name="Ringtone Preference" 
android: summary="Select a Ringtone" 
android: title="Ringtones" 
android: key="ringtonePref" /> 


要 从 这 个 XML 文件 中 inflate 一 个 Activity， 下 面 的 代码 用 于 onCreate() 方 法 。 


public class Preferences extends PreferenceRctivity { 
@Override 
protected void onCreate (Bundle savedInstanceState) { 
super.onCreate (savedInstanceState); 
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addPreferencesFromResource (R.xml .preferences) 7 


RA 
切记 一 定 要 在 清单 文件 中 添加 这 个 Activity。 


73 文 件 


应 用 程序 也 可 以 使 用 Android 的 文件 系统 来 存储 和 检索 数据 ,java.io 包 提 供 了 这 种 功 
E， 该 软件 包 提 供 了 从 文件 读 写 不 同 数据 类 型 的 类 。 默 认 情 况 下 ， 由 应 用 程序 创建 的 文 
件 对 于 应 用 程序 都 是 私有 的 ， 是 不 能 被 其 他 应 用 程序 访问 的 ， 在 系统 重启 以 及 应 用 程序 
朋 溃 时 文件 是 永久 保存 的 ， 它 们 只 在 彼 载 应 用 程序 时 被 删除 。 


7.3.1 创建 一 个 文件 


下 面 的 代码 片段 当中 显示 了 如 何 创建 一 个 文件 。 正 如 之 前 所 说 的 ， 默 认 情 况 下 ， 所 
有 文件 对 于 应 用 程序 都 是 私有 的 。 

FileOutputStream fOut = openFileOutput ("MyFile.txt", MODE WORLD 

READABLE); 

上 述 MyFile.txt 文件 将 被 创建 在 /data/data/<application-path>/files/ 目 录 下 面 。 由 于 上 面 
的 文件 创建 为 MODE_WORLD_READABLE， 这 意味 着 其 他 应 用 程序 可 以 读 取 此 文件 。 
其 他 选项 是 MODE WORLD READABLE、MODE PRIVATE 和 MODE APPEND， 分 别 
代表 允许 其 他 应 用 程序 写 入 文件 、 保 持 应 用 程序 的 私有 性 以 及 向 其 中 追加 信息 。 决 定 适 
当 的 可 见 性 是 很 重要 的 ， 考 虑 到 总 是 需要 安全 的 规则 ， 因 此 仅 给 予 最 小 规模 的 可 见 度 。 

由 于 MODE_ WORLD READABLE 和 MODE_WORLD_WRITABLE 是 非常 危险 的 选 
项 ， 所 以 从 API level 17 开始 ， 这 些 选 项 已 被 弃 用 。 如 果 文 件 还 需要 在 拥有 相同 证 书 的 应 
程序 之 间 共 享 ， 则 可 以 使 用 android:sharedUserId 选项 。 如 果 这 些 是 不 同 的 应 用 程序 ， 
那么 文件 存 取 可 以 用 封装 类 来 处 理 ， 文 件 访问 接口 提供 读 写 功能 。 访 问 这 个 封装 类 可 以 
使 用 权限 进行 保护 。 


7.3.2 写 入 一 个 文件 


下 一 步 是 写 入 一 个 文件 下面 的 代码 片段 显示 了 使 用 OutputStreamWriter 类 将 一 个 字 
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符 串 写 入 到 文件 当中 。 在 javaio 包 有 许多 可 用 的 选项 用 于 把 不 同类 型 的 数据 写 入 文件 。 
在 使 用 时 请 仔细 查看 该 软件 包 ， 为 用 例 挑选 正确 的 选项 。 

String myString = new String ("Hello World!'"); 

FileOutputStream fOut = context .openFileOutput ("MyFile.txt",MODE PRIVATE); 

OutputStreamNriter osw = new OutputStreamWriter (foOut); 

osw.write (myString); 

osw.flush(); 

osw.close(); 


7.3.3 ”从 文件 读 取 
如 前 所 述 ， 请 查看 java.io 软件 包 以便 找 到 从 一 个 文件 读 取 数据 的 最 好 方法 。 下 面 的 


代码 片段 


展示 了 如 何 从 文件 读 取 字符 串 。 


下 面 的 例子 一 次 从 文件 中 读 取 一 行 。 


FileInputStream fIn = context.openFileInput ("MyFile.txt"); 
InputStreamReader isr = new InputStreamReader (fIn); 


BufferedReader bReader 
StringBuffer stringBuf 


new BufferedReader (isr); 
new StringBuffer(); 


String in; 

while ((in = bReader.readLine()) != null) { 
stringBuf.append (in); 
stringBuf.append("\n"); 


} 


bReader.close(); 
String myString = stringBuf.toSstring(); 


7.3.4 ”外 部 存储 器 的 文件 操作 


也 可 


以 在 外 部 存储 器 创建 一 个 文件 。 如 果 是 API 8 或 更 高 版 本 ，Android 提供 了 一 个 


特殊 的 函数 getExtemalFilesDir()， 该 函数 用 于 从 外 部 存储 器 上 获得 应 用 程序 目录 。 


File 


file = new File (getExternalFilesDir (null), “MyFile.txt"); 


在 上 面 的 代码 当中 ，getExtermalFilesDir0 方 法 接收 一 个 参数 ， 该 参数 会 基于 媒体 类 型 


来 确定 适 


当 的 存储 目录 。 例 如 ， 在 存储 图 片 时 ， 会 使 用 ENVIRONMENT.DIRECTORY 


PICTURES; 存储 一 个 音乐 文件 ， 会 使 用 ENVIRONMENT.DIRECTORY_ MUSIC。 如果 
不 存在 这 样 的 一 个 目录 ， 它 将 被 创建 ， 随 后 文件 将 存储 在 该 目录 当中 。 其 中 ,null 值 指 的 
是 应 用 程序 的 根 目录 。 
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File file = new File ( 
getExternalFilesDir (ENVIRONMENT .DIRECTORY PICTURES), 
"MyFile.jpg"); 

如 果 是 API 8 以 下 的 版 本 ， 用 户 可 以 使 用 getExtermalStorageDirectory0 来 获得 外 部 存 
储 器 的 根 目 录 。 文 件 可 以 创建 在 /Android/data/<application-path>/files/ 目 录 中 。 

要 在 外 部 存储 器 创建 一 个 文件 , 应 用 程序 应 该 有 WRITE EXTERNAL STORAGE 权 
限 。 当 用 户 印 载 应 用 程序 时 ， 外 部 存储 器 上 所 创建 的 文件 将 被 删除 。 

外 部 存储 器 缺乏 内 部 存储 器 的 安全 机 制 ， 因 此 最 好 假定 任何 数据 存储 在 外 部 存储 器 
是 不 安全 的 并 且 是 全 局 可 读 。 如 果 不 挂 载 外 部 存储 器 ， 该 文件 无 法 访问 ， 所 以 必须 为 应 
用 程序 的 失效 采用 适当 的 错误 处 理 机 制 。 

在 某 些 情况 下 , 特别 是 如 果 文 件 没 有 PII 又 需要 在 不 同 的 设备 上 进行 共享 时 ， 使 用 外 
部 存储 器 就 尤为 理想 。 当 搜索 相关 内 容 时 媒体 扫描 器 扫描 这 些 目录 。 这 些 相关 目录 如 下 
所 示 ， 存 储 在 应 用 程序 的 根 目 录 /data/data/<application-path>/ 后 面 。 

音频 文件 : Music/ 

播客 文件 ， Podcasts/ 

视频 文件 〈 摄 像 机 除外 ) : Movie/ 

铃声 ;Ringtones/ 

图 片 : Pictures/ 

其 他 下 载 : Downloads/ 

通知 声音 : Notifications/ 

凉 钟 ;Alarms/ 


DOOOOODODD 


7.4 缓 存 


如 果 一 个 应 用 程序 需要 对 数据 进行 缓存 ,请 谨慎 使 用 Android 堆 所 提供 的 缓存 存储 机 
制 。Android 将 缓存 文件 与 应 用 程序 一 起 存储 在 文件 系统 当中 ， 以 便 与 创建 它们 的 应 用 程 
序 一 起 沙 盒 封装 化 (Sandboxed) 。 所 有 缓存 文件 创建 在 /data/data/<application-path>/cache/ 
目录 ， 如 果 系统 是 低 内 存 运行 ， 这 些 缓存 文件 将 最 先 被 删除 。 定 期 精简 这 些 文件 是 必要 
的 ， 因 为 它们 会 变 大 并 且 占 用 磁盘 空间 。 

在 下 面 的 代码 片段 当中 ， 首 先 将 一 个 字符 串 写 入 缓存 文件 ， 然 后 从 缓存 文件 中 读 取 
相同 的 字符 串 。 读 和 写 两 个 操作 与 任何 文件 的 输入 /输出 是 一 样 的 ， 只 是 文件 的 路 径 是 将 
getCache Dir0 的 结果 写 入 到 字符 串 当中 ， 如 下 所 示 : 
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//Write to the cache file 
String myString = new String ("Hello World!"); 
File file = new File (getCacheDir(), "MyCacheFile"); 
FileOutputStream fOut = new FileOutputStream(file); 
OutputStreamWriter osw = new OutputStreamWriter (fOut) ; 
osw.write (myString) 
osw.flush(); 
osw.close(); 
// Now read from the cache file 
File file = new File (getCacheDir(), "MyCacheFile"); 
FileInputStream fIn = new FileInputStream (file); 
InputStreamReader isr = new InputStreamReader (fIn); 
BufferedReader bReader = new BufferedReader (isr); 
StringBuffer stringBuf = new StringBuffer(); 
String ins 
while ((in = bReader.readLine()) != null) { 
stringBuf .append (in); 
stringBuf.append("\n"); 
bReader.close(); 
String myString = stringBuf.toString(); 


与 在 外 部 存储 器 可 以 创建 一 个 文件 一 样 ， 缓 存 文件 同样 也 可 以 创建 在 外 部 存储 器 当 
中 。 该 方法 根据 API 不 同 的 级 别 而 不 同 。 从 API 8 开始 , Android 提 供 了 一 个 称 为 getExternal 
CacheDir() 的 特殊 函数 ， 用 于 获得 外 部 存储 器 上 的 缓存 目录 。 如 下 所 示 : 


File file = new File (getExternalCacheDir(), "MyCacheFile"); 


这 个 目录 链接 到 应 用 程序 ， 若 应 用 程序 被 卸载 则 这 个 目录 将 不 复 存 在 。 如 果 程 序 运 
行 在 一 个 多 用 户 环境 当中 ， 那 么 每 个 用 户 都 有 他 自己 的 个 人 目录 。 

如 果 API 级别 小 于 8, 用 户 可 以 使 用 getExternalStorageDirectory() 来 获得 外 部 存储 器 ， 
然后 在 /Android/data/<applicationpath>/cache/ 目 录 下 创建 文件 。 

要 在 外 部 存储 器 创建 缓存 文件 ， 应 用 程序 应 该 拥有 WRITE_ EXTERNAL STORAGE 
权限 。 

在 外 部 存储 器 上 创建 一 个 缓存 文件 并 非 没 有 安全 问题 。 首 先 ， 如 果 外 部 存储 器 没有 
加 载 缓存 文件 ， 则 无 法 访问 该 文件 ， 并 且 必 须要 为 应 用 程序 的 失效 采用 适当 的 错误 处 理 
机 制 。 其次， 外 部 存储 器 本 质 上 是 不 安全 的 ， 所 以 任何 存储 在 外 部 存储 器 的 文件 都 应 该 
认为 是 全 球 可 读 的 。 
提示 : 缓存 文件 应 定期 整理 ， 不 需要 的 文件 应 该 删除 以 腾 出 内 存 空间 。 
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7.5 数 据 库 


对 于 存储 结构 化 数据 来 说 ， 使 用 数据 库 进 行 处 理 是 最 好 的 选择 。Android 系统 当中 使 


它 小 并 且 不 需要 安装 和 管理 ， 同 时 它 又 是 免费 的 ! 


用 android.database.sqlite 软件 包 来 提供 对 SQLite 的 支持 ， 该 数据 库 作 为 Android 堆 当 中 
的 一 部 分 ， 并 且 由 系统 管理 数据 库 。 移 动 操 作 系 统 使 用 SQLite 是 一 个 明智 的 选择 ， 因 为 


一 经 创建 ， 数 据 库 文 件 就 和 应 用 程序 一 起 被 沙 盒 封装 化 ， 然 后 存储 在 /data/data/ 
<application-path>/databases/ 目 录 中 。 这 个 私有 数据 库 将 被 应 用 程序 的 所 有 组 件 访问 ， 而 


不 是 其 他 的 外 部 应 用 程序 。 
下 面 的 代码 片段 展示 了 如 何 创建 一 个 驻 留 在 内 存 的 数据 库 。 类 将 扩 


展 SQLiteOpen 


Helper 类 ， 并 使 用 SQL (Structured Query Language， 结 构 化 查询 语言 ) 语言 的 
CREATE _ TABLE 子 句 。 所 创建 的 表 用 于 存储 用 户 标记 为 意愿 清单 的 书籍 列表 。wishlist 


表 有 两 列 ， 一 列 是 自动 增加 的 也， 一 列 是 这 本 书 的 书 名 。 


请 注意 这 里 所 使 用 的 两 种 方法 : onCreate0 和 onUpgrade0。onCreate0 将 创建 一 个 新 的 数 
据 库 (如 果 不 存在 ) 和 一 个 新 的 数据 库 表 ， 如 果 数 据 库 已 经 存在 ， 则 调用 onUpgrade()。 


public class MySQLiteHelper extends SQLiteOpenHelper { 
public static final String TABLE NAME = "wishlist"; 
public static final String COLUMN ID = " id"; 
public static final String COLUMN BOOK = "book"; 


private static final String DATABASE NAME = "bookstore.db"; 


private static final int DATABASE VERSION 

@Override 

public void onCreate (SQLiteDatabase database) { 

database.execSQL("create table " + TABLE NAME + "(" 

+ COLUMN ID + " integer primary key autoincrement，" 
+ COLUMN BOOK + " text not null);"); 

} 

@Override 

public void onUpgrade (SQLiteDatabase database) { 


1; 


database.execSQL ("drop table if exists " + TABLE NAME); 


onCreate (db); 
省 
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类 似 地 ， 可 以 使 用 其 他 数据 库 查 询 添加 、 读 取 以 及 删除 一 行 数据 。 任 何 一 本 SQL 的 
书籍 均 可 以 帮助 大 家 来 完成 这 些 查询 。 

另外 ， 还 可 以 在 外 部 存储 器 创建 一 个 数据 库 。 创 建 一 个 接收 目录 路 径 的 自 定义 上 下 
文 类 可 以 做 到 这 一 点 ， 但 还 需要 有 写 外 部 存储 器 的 权限 。 然 而 ， 如 果 表 里 有 敏感 信息 这 
样 做 是 不 明智 的 。 

正如 前 面 所 提 到 的 ，SQLite 数据 库 是 一 个 私有 数据 库 ， 与 应 用 程序 一 起 沙 盒 封装 化 。 
为 了 预防 这 些 数据 需要 与 其 他 应 用 程序 共享 ， 可 以 使 用 一 个 被 称 为 URI 的 Content 
Provider 来 实现 。 这 已 经 在 第 2 章 中 进行 过 详细 介绍 了 。 


7.6 账户 管理 


在 存储 敏感 数据 的 前 提 下 ， 存 储 密码 或 身份 验证 令 牌 是 一 个 重要 的 方面 。 一 些 应 用 
程序 允许 用 户 密码 登录 ， 如 Google Mail、Twitter 和 Facebook。 其 他 应 用 程序 如 同 使 用 验 
证 协议 那样 使 用 身份 验证 令 牌 ， 如 OAuth2 。 

Android 提供 了 android.accounts.AccountManager 类 作为 一 个 集中 的 存储 库 来 存储 用 
户 凭 证。 应 用 程序 可 以 选择 使 用 自己 的 可 和 骨 入 身份 处 理 账 户 认 证 。 不 管 是 存储 用 户 名 来 
鉴别 身份 信息 ， 还 是 创建 自 定义 的 账户 管理 器 ，Android 的 AccountManager 都 是 一 个 强 
大 的 工具 。 

AccountManager 类 功能 被 权限 所 保护 , 因此 应 用 程序 将 不 得 不 请 求 android.permission. 
GET_ACCOUNTS 访问 它 所 存储 的 账户 列表 ，android.permissio.ACCOUNT_MANAGER 
则 用 于 OAuth2。 

每 个 账户 都 按照 某 种 命名 空间 格式 进行 使 用 .例如 ,一 个 google 账 号 使 用 com.google， 
一 个 Twitter 账号 使 用 com.twitter.android.auth.login。 下 面 的 代码 当中 演示 了 如 何 对 
Account Manager 进行 访问 。 


AccountManager am = AccountManager.get (getApplicationContext ()); 


整个 账户 列表 可 以 使 用 下 面 的 代码 检索 。 


Account[] accounts = am.getAccounts(); 


auth 令 牌 以 Bundle 的 形式 获得 ， 并 使 用 KEY_AUTHTOKEN 指定 的 值 检 索 。 


String token = bundle-getString (AccountManager .KEY AUTHTOKEN); 


当 使 用 AccountManager 时 要 记 住 两 个 重点 。 第 一 ， 如 果 应 用 程序 试图 使 用 OAuth2 
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进行 身份 验证 ， 那 么 应 用 程序 将 与 服务 器 建立 通信 ， 这 可 能 会 导致 延误 和 异步 调用 ; 第 
二 , 凭证 以 纯 文本 的 方式 存储 在 AccountManager, 因此 在 一 个 经 过 root 之 后 的 手机 上 ,使 
用 adb shell 命令 就 可 以 使 它们 对 于 任意 用 户 可 见 。 所 以 ， 正 如 在 设备 上 存储 信息 一 样 ， 
不 管 对 其 进行 散 列 还 是 加 密 ， 都 应 该 以 一 个 安全 的 加 密 方式 存储 ， 而 不 是 明文 存储 密码 
和 其 他 PI。 这 样 将 把 破坏 设备 的 风险 最 小 化 。 


7.7 SSL/TLS 


笔者 读 过 一 个 非常 有 趣 的 有 关中 间 人 〈man-in-the-middle，MITM) 攻击 传输 数据 的 
一 项 研究 。 该 项 研究 是 使 用 SSL (Secure SocketLayer) 或 TLS (TransportLayer Security) 
协议 来 保护 网 络 中 的 数据 。 许 多 应 用 程序 因为 没有 正确 使 用 SSL/TLS 而 导致 漏洞 。 另 一 
个 有 趣 的 现象 是 ， 通 常 与 使 用 SSL/TLS 的 网 站 相关 联 时 ，Android 浏览 器 在 地 址 栏 上 都 
不 会 显示 绿色 的 挂 锁 ， 因 此 用 户 此 时 并 没有 意识 到 正在 使 用 不 安全 的 网 站 。 有 关 该 论文 
的 详细 内 容 ， 可 以 参阅 链接 http://www2.dcsec.uni-hannover.de/files/android/p50-fahl.pdf。 
笔者 相信 这 将 是 一 个 有 趣 的 阅读 经 历 。 

前 面 的 研究 说 明了 在 应 用 程序 里 面 正确 实现 协议 的 重要 性 。 本 节 介 绍 SSL/TLS 和 一 
些 正 确 地 实现 它 的 说 明 。 由 
Netscape 开发 的 SSL 是 一 个 在 互 
联网 上 的 安全 通信 协议 ， 该 协议 
遵循 一 系列 在 客户 端 和 服务 器 之 
间 的 调用 ， 它 们 协商 数据 交换 的 


密 钥 和 密码 组 合 。 
Android 提供 了 集成 SSL/TLS ee Sorer 


的 能 力 ， 它 们 使 用 javax.net.ssl、 on 
org.apache.http.conn.ssl 和 android. 


net 包 。 图 7-2 展示 了 SSL 中 的 
时 序 。 

第 一 步 是 创建 一 个 密 钥 存储 
库 并 导入 服务 器 证 书 链 。 接 下 来 是 
将 密 钥 存储 库 与 DefaultHttpClient 
链接 ， 这 样 就 能 了 解 哪里 能 找到 12 
服务 器 的 证 书 。 
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在 应 用 程序 的 开发 阶段 ， 尤 其 是 在 企业 环境 中 ， 需 要 建立 SSL 以 便 通 过 创建 一 个 
定义 TrustManager 去 信任 所 有 证 书 ， 并 且 人 允许 所 有 的 主机 名 使 用 SSLSocketFactory. 
ALLOW_ALL HOSTNAME VERIFIER。 但 是 如 果 这 样 的 应 用 程序 被 发 布 ， 将 会 引出 一 
个 严重 的 安全 漏洞 。 因 此 ， 请 在 应 用 程序 发 布 前 检查 该 项 。 以 确保 在 应 用 程序 发 布 之 育 
解决 该 安全 问题 。 


7.8 在 外 部 存储 器 安装 应 用 程序 


正如 之 前 在 第 4 章 中 所 讨论 的 那样 ,从 API level 8 开始 应 用 程序 可 以 选择 安装 在 SD 
卡 上 。 一旦 APK 文件 移动 到 外 部 存储 器 ， 应 用 程序 所 占用 的 内 存 通常 为 存储 在 内 部 存储 
器 的 、 应 用 程序 的 私有 数据 。 需 要 注意 的 是 ， 即 使 Android 安装 包 (APK) 驻 留 在 SD 卡 
上 ，DEX 文件 、 私 人 数据 目录 和 本 地 共享 库 依然 驻 留 在 内 部 存储 器 当中 。 

可 以 在 清单 文件 中 添加 一 个 可 选 属 性 启用 该 特性 。 根 据 当 前 APK 的 存储 位 置 ， 类 似 
这 样 的 应 用 程序 的 Application Info〈 应 用 程序 信息 ) 屏幕 上 将 会 有 “Moveto SD card ( 移 
到 SD 卡 ) ”或 “Move to Phone( 移 到 设备 ) ”按钮 。 用 户 将 会 选择 其 中 一 个 选项 来 相 
应 地 移动 APK 文件 所 在 位 置 。 如 果 外 部 设备 被 扼 
载 或 USB 模式 被 设置 为 大 容量 存储 器 (设备 作为 
磁盘 驱动 器 ) ， hd es 留 在 外 部 设备 的 正在 运行 的 
活动 和 服务 立即 停 

图 7-3 显示 0 to SD card ( 移 到 SD 


人 HO .12:13am 


! 合 1 Example1 


eb 


卡 ) ”时 应 用 程序 的 设置 。 pr a0 
每 个 应 用 程序 的 ApplicationInfo 对 象 现在 有 Application 620KB 
一 个 名 为 FLAG_EXTERNAL STORAGE 的 新 标 es QI008 


记 。 这 个 标志 被 设置 为 tue 值 , 应 用 程序 就 可 以 存 
储 在 外 部 设备 。 如 果 外 载 了 这 样 的 应 用 程序 ， 该 应 OE 
程序 的 内 存 也 被 清除 。 如 果 外 部 设备 不 可 用 ( 例 
如 SD 卡 被 卸载 ) ， 则 内 存 不 被 清除 。 在 这 种 情况 
下 ， 用 户 可 以 通过 逢 载 应 用 程序 清除 内 存 。 
此 外 ， 还 添加 了 两 个 新 的 广播 。 
口 ACTION EXTERNAL APPLICATIONS 
_UNAVAILABLE: 该 Intent 是 当 SD 卡 


0.00B 
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被 卸载 时 发 出 的 。 它 包含 一 个 禁用 的 应 用 程序 列表 (使 用 EXTRA_CHANGED 
PACKAGE LIST 属性 ) 和 一 个 不 可 用 的 应 用 程序 UID 的 列表 (使 用 EXTRA_ 
CHANGED UID LIST 属性 ) 。 

口 ”ACTION EXTERNAL APPLICATIONS AVAILABLE: 该 Intent 是 当 SD 卡 变 

得 再 次 可 用 时 发 出 的 。 它 包含 一 个 禁用 的 应 用 程序 列表 (使 用 EXTRA_CHANGED 
PACKAGE LIST 属性 ) 和 一 个 不 可 用 的 应 用 程序 UID 的 列表 (使 用 EXTRA_ 
CHANGED UID LIST 属性) 。 

当 一 个 应 用 程序 从 内 部 存储 器 移 到 外 部 设备 时 ，ACTION EXTERNAL APPLICATIONS 
UNAVAILABLE 失效 。 随 后 ， 资 产 和 资源 被 复制 到 新 的 位 置 ， 然 后 应 用 程序 被 启用 ， 
ACTION EXTERNAL APPLICATIONS_AVAILABL Itent 再 次 关闭 。 
提示 : 任何 类 型 的 外 部 设备 本 身 都 是 不 安全 的 。 例 如 ， 由 于 电源 故障 ( 在 通话 的 情况 下 

电池 没 电 ) 或 不 恰当 地 移 除 卡 (没有 正确 地 纯 载 ) ，SD 卡 容易 存储 损坏 。SD 卡 也 
在 全 局 范围 内 可 读 ， 所 以 应 用 程序 可 以 读 、 写 、 复 制 或 删除 当中 的 数据 。 


为 了 把 APK 安全 地 存储 在 外 部 设备 ，Android 应 用 程序 都 被 存储 在 一 个 加 密 的 容器 
(ASEC 文件 ) 中 ， 以 便 其 他 应 用 或 程序 不 能 修改 或 破坏 它们 。ASEC 文件 是 一 个 加 密 文 
件 系统 ， 其 密 钥 可 以 由 设备 随机 生成 和 存储 ， 也 只 有 最 初 安装 它 的 设备 才 可 以 对 它 进 行 
解密 。 因 此 ， 安 装 在 一 张 SD 卡 的 一 个 应 用 程序 仅 适 用 于 一 个 设备 。 
当 加 载 SD 卡 〈 使 用 Linux 回环 机 制 ) 时 ， 这 些 容器 就 会 和 应 用 程序 一 样 被 加 载 到 内 
部 存储 器 。 文 件 系 统 有 执行 权限 ， 因 此 其 他 应 用 程序 不 能 修改 它 的 内 容 ， 除 了 系统 本 身 ， 
任何 应 用 程序 都 不 可 以 通过 ASEC 文件 修改 任何 内 容 ， 因 为 其 他 应 用 程序 没有 密 钥 。 另 
外 ，SD 卡 被 挂 载 为 “noexec”， 所 以 任何 人 都 不 能 把 可 执行 代码 放 在 其 中 。 
多 个 SD 卡 可 以 关联 到 一 个 设备 ， 所 以 SD 卡 可 以 很 容易 地 交换 。 只 要 安装 SD 卡 ， 
就 不 存在 性 能 问题 。 
Android 开发 者 网 站 (developer.android.com) 给 出 了 一 个 用 例 列表 ， 当 正在 一 张 SD 
卡 上 安装 一 个 应 用 程序 时 ， 如 果 SD 卡 被 卸载 , 会 使 应 用 程序 执行 不 正常 ， 它们 当中 的 一 
些 项 目 ， 如 Service 等 ， 将 会 基于 手机 启动 时 服务 启动 的 先后 顺序 进行 启动 。 
口 ”Services: 运行 中 的 Service 将 被 停止 。 应 用 程序 可 以 注册 ACTION_EXTERNAL 
APPLICATIONS_AVAILABLE 广播 Pntent， 当 应 用 程序 安装 在 外 部 存储 器 并 且 
对 系统 来 说 已 经 可 用 时 ,， 它 将 通知 应 用 程序 。 一 旦 收 到 Intent，Service 就 可 以 重 
新 启动 。 
口 “Alarm services: 通过 AlarmManager 注册 “报警 ”将 被 取消 ， 当 重新 安装 一 个 外 
部 存储 器 时 必须 手工 重新 注册 “报警 ”。 
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输入 法 引擎 (Input Method Engines，IME) : IME 是 一 种 允许 用 户 输入 文本 的 
控制 。 如 果 输 入 法 驻 留 在 外 部 存储 器 ， 取 而 代 之 的 将 是 默认 的 输入 法 。 当 一 个 
外 部 存储 器 被 重新 安装 时 ， 用 户 将 不 得 不 打开 系统 设置 来 再 次 启用 自 定义 输 
入 法 。 

动态 壁纸 (Live Wallpapers) : 如 果 一 个 动态 壁纸 被 设置 为 存储 在 外 部 存储 器 ， 
默认 动态 壁纸 将 取代 在 用 动态 壁纸 。 当 一 个 外 部 存储 器 被 重新 安装 时 ， 用 户 将 
不 得 不 再 次 选择 他 们 自 定义 的 动态 壁纸 。 

应 用 程序 窗口 微 件 (App Widgets) : 如 果 应 用 程序 窗口 微 件 驻 留 在 外 部 存储 器 ， 
它 将 被 从 主屏 幕 移 除 。 在 大 多 数 情况 下 ， 一 个 应 用 程序 窗口 小 部 件 再 次 出 现在 
主屏 幕 上 需要 重启 系统 。 

账户 管理 器 (Account Managers) : 如 果 任 何 账户 都 是 由 AccountManager 创建 
的 ， 它 们 将 会 暂时 失效 ， 直 到 外 部 存储 器 被 重新 安装 。 

同步 适配器 (Sync Adapters) : AbstractThreadedSyncAdapter 及 其 所 有 的 同步 功 
能 将 不 会 工作 。 为 了 重新 同步 工作 ， 外 部 存储 器 不 得 不 再 次 被 安装 。 

设备 管理 器 (Device Administrators) : 当 DeviceAdminReceiver 及 其 所 有 管理 功 
能 被 禁用 时 ， 即 便 SD 卡 被 重新 安装 这 部 分 也 不 可 能 具有 全 部 的 功能 。 

广播 接收 器 (Broadcast Receiver) : 当 系统 在 外 部 存储 器 被 安装 到 设备 之 前 传输 
这 个 广播 时 ， 任 何 正在 监听 ACTION BOOT_COMPLETE 广播 的 广播 接收 器 将 
停止 工作 。 所 以 任何 安装 在 外 部 存储 器 的 应 用 程序 都 不 能 接收 这 个 广播 。 


7.9 小 结 


本 章 涵盖 了 在 Android 上 可 用 的 存储 机 制 。 了 解 例如 隐私 、 数 据 保留 等 术语 ， 


在 收集 


个 人 身份 信息 之 前 应 该 考虑 这 些 问题 ， 以 避免 法 律 和 道德 问题 。 重 要 的 是 ， 要 注意 有 关 
隐私 和 数据 安全 的 法 规 ， 根 据 不 同 的 国家 和 用 例 是 不 同 的 。 存 储 用 户 首选 项 需要 使 用 共 
享 首选 项 ， 在 文件 、 组 在 和 数据 库 上 存储 、 读 和 写 数据 。 当 使 用 SSL/TLS 以 及 应 用 程序 


安装 在 外 部 存储 器 时 ， 还 包括 了 一 些 重 要 的 考虑 因素 。 


接 下 来 的 第 8 章 一 第 10 章 将 涉及 一 些 非常 有 趣 的 话题 ， 如 设备 管理 、 安 全 测试 以 及 


在 Android 上 的 新 兴 用 例 。 
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随 着 移动 设备 变 得 无 处 不 在 ， 越 来 越 多 的 员工 都 将 他 们 的 移动 设备 用 于 工作 当中 ， 
并 要 求 企 业 数 据 可 通过 他 们 的 个 人 或 企业 移动 设备 进行 访问 。 这 带 来 很 大 的 便捷 ， 但 同 
时 也 存在 严峻 的 挑战 。 由 于 移动 设备 受 损 或 遗失 进而 所 造成 的 企业 数据 丢失 ， 其 代价 是 
异常 昂贵 的 。 

随 着 员工 的 移动 设备 不 断 增 多 ，IT 部 门面 临 着 诸多 挑战 ， 其 一 ， 是 具有 不 同 外 形 和 
功能 的 移动 设备 非常 广泛 。 其 二 ， 是 要 将 员工 纳入 管理 ， 就 其 移动 设备 的 特定 应 用 及 某 
些 部 件 接受 企业 的 控制 。 其 三 ， 是 对 移动 设备 管理 提供 持续 不 断 的 支持 。 

本 章 的 重点 是 Android 设备 的 设备 管理 。 如 果 读 者 并 非 为 企业 开发 应 用 软件 , 可 以 跳 
过 本 章 ， 直 接 进入 第 9 章 的 阅读 ， 以 了 解 有 关 测 试 Android 应 用 程序 的 安全 性 问题 。 

本 章 首先 讨论 关于 Android 生态 系统 的 设备 管理 和 挑战 的 基础 知识 ; 其 次 会 讨论 建立 
和 实现 设备 管理 策略 机 制 以 及 Android 接收 器 。 另 外 , 还 会 讨论 存储 在 设备 上 以 及 传输 过 
程 当中 数据 的 安全 性 。 本章 结 尾部 分 提出 建立 Android 设备 管理 、 设 备 管理 者 应 当 注 意 的 
策略 以 及 遵循 的 指导 方针 等 相关 建议 。 


81 基础 知识 


论 及 企业 设备 时 ， 下 面 提 到 的 这 3 个 术语 将 会 被 反复 使 用 , 即 BYOD、MDM 和 MAM。 
这 几 个 术语 将 会 贯穿 本 章 的 所 有 内 容 ， 因 此 在 讨论 其 他 内 容 之 前 ， 首 先 来 了 解 这 些 术 语 
的 含义 。 

第 一 个 术语 是 自 带 设备 (Bring Your Own Device，BYOD ) 。 该 术语 指 的 是 近年 来 的 
趋势 : 员工 将 自己 的 移动 设备 带 来 工作 ， 在 个 人 设备 上 访问 企业 数据 和 应 用 。 其 中 之 一 
的 应 用 场景 就 是 用 个 人 移动 设备 访问 电子 邮件 和 办 公文 档 。 

第 二 个 术语 是 移动 设备 管理 (Mobile Device Management，MDM) 。MDM 指 的 是 远 
程 管理 用 于 访问 企业 应 用 程序 和 数据 的 移动 设备 ， 这 些 移动 设备 既 可 以 是 公司 所 属 ， 也 
可 以 为 雇员 所 拥有 。 例 如 远程 删除 企业 数据 、 要 求 用 户 设置 密码 等 。 这 些 功能 加 强 了 企 
业 对 系统 功能 的 控制 。 

本 文 常用 的 第 三 个 术语 是 移动 应 用 管理 (Mobile Application Management, MAM) 。 
该 术语 指 的 是 对 访问 企业 数据 的 移动 设备 中 的 软件 和 服务 进行 的 管理 .MAM 的 应 用 实例 
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包括 应 用 程序 升级 获取 裔 溃 日 志和 用 户 数据 并 将 其 发 送 给 开 部门.MAM 不 同 于 MDM， 
后 者 侧重 于 设备 的 功能 ， 而 MAM 则 是 专注 于 安装 在 设备 上 的 软件 和 服务 。 


8.2 了 解 Android 生态 系统 


Android 是 一 个 富有 挑战 性 和 吸引 力 的 生态 系统 ， 具 有 数量 众多 的 定制 发 布 版 本 。 
图 8-1 显示 的 是 撰写 此 书 时 各 个 Android 版 本 的 使 用 情况 。 从 图 中 不 难 发 现 , 在 任何 给 定 
时 期 都 会 有 不 同 的 Android 版 本 投入 使 用 .了 解 每 个 版 本 之 间 的 细微 差别 以 及 每 个 版 本 的 
特殊 需求 本 身 就 是 一 项 比较 专业 的 任务 ， 这 可 以 随时 登录 http://developer.android.com/ 
about/dashboards/index.html 以 查询 各 版 本 使 用 情况 的 最 新 统计 数据 。 


Ice Cream Sandwich 


Gingerbread 
截至 2013 年 5 月 1 日 14 天 内 统计 的 数据 。Ant 版 本 销量 低 于 0.1%， 故 未 
显示 。 


8-1 
如 前 所 述 ， 每 个 厂家 都 有 定制 版 的 Android 软件 开发 包 与 它们 所 选择 的 特性 和 功能 。 
在 这 个 应 用 程序 堆 之 上 ， 运 营 商 们 也 为 它们 的 用 户 添 加 一 些 定制 性 服务 。 这 造就 了 一 个 
高 度 分 化 的 市 场 。 
8.3 设备 管理 功能 


从 Android 2.2 开始 ，Android 不 断 增加 功能 ， 为 进入 企业 做 好 准备 。 每 个 后 续 版 本 
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都 会 提升 或 增加 现 有 版 本 的 功能 。 表 8-1 列 出 了 随 着 Android 版 本 升级 得 以 实现 的 特定 企 
业 功 能 。 本 节 将 重点 讲述 其 中 一 些 功能 。 
表 8-1 
Android 发 布 版 本 企业 功能 
密码 策略 
Froyo (2.2) 远程 擦 除 
Gingerbread (2.3) SIP 支 持 
平板 电脑 的 加 密 和 密码 策略 
针对 平板 电脑 系统 加 密 
扩展 系统 加 密 、 设 备 加 密 和 密码 策略 
证 书 管理 功能 
VPN 
Ice cream sandwich (4.0) SSL VPN 开发 接口 
面部 识别 解锁 
网 络 数据 使 用 监控 
离线 邮件 搜索 


Honeycomb (3.0) 


8.3.1 设备 管理 API 


如 表 8-1 所 示 ， 从 Android 2.2 开始 ，Android 便 在 不 断 增加 对 于 设备 管理 的 支持 。 在 
这 方面 所 做 的 最 大 进步 就 是 在 Android 2.2 版 本 当中 引入 了 设备 管理 API， 这 些 API 用 以 
支持 企业 所 需 的 对 设备 进行 系统 级 别 的 控制 。 

设备 管理 API 的 运行 会 按照 以 下 4 个 步骤 进行 

(1) 系统 管理 员 编 写 应 用 软件 ， 实 现 远 程 管理 设备 。 

(2) 用 户 下 载 来 自 Google 市 场 或 任何 其 他 应 用 程序 商店 的 应 用 程序 ， 用 户 也 可 以 
通过 电子 邮件 安装 应 用 程序 。 

(3) 下 载 完成 后 ， 用 户 可 以 安装 该 应 用 程序 。 在 安装 过 程 当 中 ， 向 用 户 呈 现 将 在 设 
备 上 实施 的 策略 。 用 户 必 须 同意 这 些 策略 才能 激活 应 用 程序 。 

(4) 安装 成 功 后 ， 用 户 必 须 遵 守 这 些 策略 ， 以 便 访问 敏感 信息 。 用 户 可 以 秃 载 应 用 
程序 ， 结 果 将 导致 对 敏感 数据 的 拒绝 访问 。 

在 流程 图 8-2 中 所 显示 的 就 是 用 户 安装 管理 程序 后 ， 该 程序 将 会 强制 执行 口令 策略 ， 
使 密码 必须 包含 某 些 类 型 的 字符 的 程序 处 理 流程 。 
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User installs admin app 


图 8-2 


设备 管理 API 被 打包 为 android.app.admin, 它 包 括 如 下 3 个 类 : DevicePolicyManager， 
其 功能 是 定义 和 执行 策略 ; DeviceAdminInfo， 包 含 为 设备 管理 组 件 提 供 的 元 数据 ; 
DeviceAdminReceiver， 作 用 是 执行 接收 器 组 件 。 

1. 策略 


策略 是 设备 管理 的 一 个 不 可 或 缺 的 组 成 部 分 。 此 书 编写 之 时 ， 设 备 管理 API 支持 与 
密码 、 远 程 擦 除 、 禁 用 相机 、 设 备 加 密 以 及 锁定 设备 等 相关 的 策略 。 实 施 密码 策略 的 实 
例 包括 : 要 求 密码 包含 字母 、 数 字 、 字 符 ， 密 码 过 期 和 超时 ， 以 及 密码 尝试 最 大 次 数 。 
现行 策略 清单 可 以 查看 android.app.admin.DevicePolicyManager 进行 验证 。 

策略 是 在 res 文件 夹 下 面 的 一 个 XML 文件 当中 进行 定义 的 。 以 下 是 一 个 策略 的 示例 
文件 ， 该 文件 对 密码 进行 限制 、 可 以 将 设备 远程 重 置 到 出 广 设置 、 禁 用 照相 机 、 加 密 存 
储 并 锁定 该 设备 。 在 安装 时 ， 这 些 策 略 会 向 用 户 显示 。 

<device-admin xmlns: android="http//schemas.android.com/apk/res/android"> 

<uses-policies> 


<limit-password /> 
<force-lock /> 
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<wipe-data /> 
<expire-password /> 
<encrypted-storage /> 
<disable-camera /> 
</uses-policies> 
</device-admin> 
其 他 的 一 些 策略 在 陆续 地 被 增加 到 新 版 本 中 。 读 者 可 以 查阅 当前 的 构建 版 本 ， 并 实 
施 相 应 的 策略 。 
一 个 设备 管理 应 用 程序 会 包含 DevicePolicyManager， 它 负责 对 一 个 或 多 个 设备 管理 
接收 器 进行 策略 管理 。 如 下 所 示 : 
DevicePolicyManager mDPMgr = 


(DevicePolicyManager) getSystemService 
(Context .DEVICE POLICY SERVICE); 


使 用 以 下 代码 可 以 远程 擦 除 电话 里 的 数据 。 值 得 注意 的 是 ， 在 应 用 市 场 上 还 会 存在 
着 一 些 伪造 的 设备 管理 应 用 程序 。 因 此 ， 请 务必 下 载 管理 员 所 推荐 的 正确 的 管理 应 用 程 
序 ， 不 安全 的 应 用 程序 或 木马 程序 可 以 很 容易 地 泄露 数据 ， 这 点 很 重要 。 


DevicePolicyManager mDPMgr; 
mDPMgr .wipeData (0); 


设 定 文件 系统 加 密 策略 ， 可 以 使 用 以 下 这 段 代码 : 


DevicePolicyManager mDPMgr; 
ComponentName mMyDeviceAdmin; 
mDPMgr .setStorageEncryption (mMyDeviceAdmin, true); 


2. DeviceAdminReceiver 


将 DeviceAdminReceiver 细 分 成 子 类 , 用 以 创建 设备 管理 应 用 程序 。 这 个 子 类 包含 了 
回调 函数 ， 以 便当 特定 事件 发 生 时 会 触发 回调 。 这 些 Intent 是 由 系统 发 送 的 ， 因此， 接收 
者 应 该 能 够 处 理 ACTION_DEVICE_ADMIN_ENABLED Intent。 

DeviceAdminReceiver 需要 BIND_DEVICE ADMIN 权限 。BIND_DEVICE ADMIN 
是 一 个 特殊 权限 ， 只 能 由 系统 访问 ， 而 不 能 由 应 用 程序 访问 ， 这 确保 了 只 有 系统 与 接收 
器 才能 进行 交互 。 

接收 器 还 引用 上 文 提 及 的 元 数据 策略 文件 。 以 下 代码 片段 则 是 其 中 的 示例 声明 : 

<receiver android: name="MyDeviceAdminReceiver™" 


android: label="@string/my device admin receiver" 
android: description="@string/my device admin desc" 
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“ls 


android: permission="android.permission.BIND DEVICE ADMIN"> 
<meta-data android: name="android.app-.my device admin" 
android: resource="@xml/my device admin" /> 


<intent-filter> 
<action android: name= 
/> 
</intent-filter> 
</receiver> 


在 屏幕 截图 8-3 中 
一 个 说 明 流程 的 例子 ， 


显示 了 对 公 


息 〈 请 注意 选择 加 密 的 SSL 连接 ) 。 

单 击 Next (下 一 

中 ， 用 户 选 中 

图 8-4 所 示 。 
侍卫 


中 ) 书 站 富 


En 12:20 AM 


set up Exchange ActiveSsync account 


Emailaddress 
example@mail.com 
Server address 
Exchange server name 
Domain 
Exchange domain name 


Username 


Exchange username 
Password 
Required 


This server requires an encrypted 
SSL connection 


图 8-3 


步 ) 按钮 ， 用 户 可 以 选择 哪些 功能 应 同步 到 该 
了 所 有 由 Exchange ActiveSync 所 提供 的 功能 ， 即 邮件 、 通 讯 录 和 日 历 ， 如 


"android.app.action.DEVICE ADMIN ENRBLED" 


司 的 电子 邮件 进行 Exchange ActiveSync 设置 。 这 仅 是 
在 截图 中 ， 实 际 账户 详细 信息 必须 填写 ， 即 填写 公司 账户 详细 信 


玄 设 备 。 在 这 个 例子 当 


个 和 书 站 二 ”12:15 AM 
Exchange ActiveSsynec settings 

Select the data to synchronize with 
the Exchange Server 
Mail wt 
Contacts w 
Calendar 四 

Back Finish setup 

图 8-4 


示例 中 ， 邮 件 、 通 讯 录 、 日 历 将 不 会 同步 ) 。 


第 三 步 如 图 8-5 所 示 , 如 果 用 户 决定 安装 该 应 用 程序 并 能 够 访问 敏感 信息 , 则 必须 确 
认同 意 将 在 设备 上 实施 的 安全 策略 ; 如 果 用 户 拒绝 该 策略 , 则 该 应 上 


程序 将 不 被 安装 (在 


一 步 ， 用 户 将 审查 通过 同步 电子 邮件 而 将 被 执行 的 策略 。 如 前 所 述 ， 这 些 策略 是 
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定义 在 策略 文件 当中 的 。 在 图 8-6 中 所 显示 的 是 由 于 员工 设备 丢失 、 员 工 停止 为 企业 工作 
或 其 他 原因 ， 设 备 管理 员 可 以 远程 擦 除 员工 设备 里 的 所 有 数据 的 情况 。 其 中 的 第 二 个 策 
略 是 : 设备 管理 员 将 设置 密码 规则 ， 这 些 密码 规则 可 以 是 其 中 任意 一 个 。 


Activate security policies? 


Le | Exchange security policies 


(©) Security policy required 


Your Exchange server requires 
that you enable security policies 


to continue synchronizing Erase all data 
Would you like to continue? 


OK Cancel Set password rules 


Monitor screen-unlock 
attempts 


图 8-5 图 8-6 


8.3.2 ”保护 设备 上 的 数据 


对 于 MDM 的 一 个 主要 需求 就 是 要 保护 存储 在 设备 当中 的 企业 数据 。Android 设备 通 
常 有 两 种 形式 的 数据 存储 : 内 部 存储 和 外 部 〈 可 移动 的 ) 存储 介质 。 从 Honeycomb 版 本 
开始 , 内 部 文件 系统 将 被 挂 载 至 /mnt/sdcard, 外 部 存储 被 挂 载 至 /mnt/extermal# (其 中 ,，“#” 
代表 的 是 外 部 设备 的 数字 ) 。 早 期 版 本 将 内 部 存储 挂 载 至 /mnt/sdcard ， 而 SD 卡 则 被 挂 
载 至 /mnt/sdcard/extemal_ sd。 但 Android 堆 的 定制 版 本 可 能 不 一 定 会 遵循 这 些 原则 。 
Android 通过 对 设备 全 磁盘 加 密 ， 以 及 通过 支持 加 密 算法 来 解决 企业 数据 保护 的 问题 。 
1. 加 密 


Android 3.0 当中 增加 了 对 全 磁盘 加 密 功 能 的 支持 ， 用 以 防止 未 经 授权 的 用 户 数 据 访 
。 该 文件 系统 是 使 用 dm_crypt 内 核 功能 进行 加 密 ， 并 在 块 设备 层 上 工作 。 秘 密 来 源 于 
户 密码 , 使 用 AES-128 的 CBC 模式 和 ESSIV: SHA-256 进行 加 密 。 该 加 密 密 钥 是 通过 


和 
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使 用 开放 的 SSL 与 AES-128 进行 加 密 。 

为 了 全 磁盘 加 密生 效 ， 设 备 需要 使 用 密码 进行 保护 图 形 密码 将 无 法 生效 ) 。 该 设 
备 必 须 使 用 密码 解锁 才能 访问 文件 系统 。 设 备 管理 员 可 以 设置 一 个 策略 以 限制 密码 试验 
次 数 ， 错 误 密 码 输 入 次 数 超出 ， 该 设备 将 重 置 为 出 厂 设 置 。 

用 户 必须 手动 接受 设备 加 密 。 注 意 ， 设 备 第 一 次 加 密 时 应 当 具 有 充足 的 电量 以 完成 
加 密 过 程 。 如 果 设 备 电源 耗 尽 ， 则 必须 设置 到 出 厂 设置 ， 所 有 用 户 数据 都 将 丢失 。 
提示 : 仅 设备 上 的 文件 系统 被 加 密 。 诸 如 SD 卡 等 的 外 部 存储 器 不 会 被 加 密 。， 


正如 第 6 章 所 讨论 的 那样 ，Android 堆 支 持 加 密 算法 ， 如 加 密 和 散 列 。 一 旦 出 现 信 息 
必须 存储 在 SD 卡 的 情况 ，Android 堆 所 支持 的 加 密 功 能 都 可 以 使 用 。 设 备 管理 员 可 以 强 
制 执行 存储 在 SD 卡 上 的 任何 数据 必须 加 密 的 策略 。 

即便 实现 了 完全 的 设备 加 密 ， 仍 然 还 需要 注意 以 下 的 几 个 问题 ， 首 先是 “ 肩 稚 

(shoulder surfing) ”， 即 在 人 和 群 密集 的 地 方 ， 可 以 从 一 个 人 的 肩膀 上 方 窥探 到 密码 。 每 
个 人 都 应 该 铭记 这 一 问题 。 其 次 ， 尽 管 需要 输入 密码 来 解锁 手机 相当 麻烦 ， 为 了 确保 企 
业 数 据 的 安全 ， 请 避免 选择 简单 的 口令 ， 最 好 是 选择 一 个 难以 被 破解 的 密码 。 设 备 策略 
可 以 为 相同 的 情况 设 定 某 种 需求 场景 。 再 次 ， 请 务必 牢记 : 只 有 文件 系统 的 数据 分 区 被 
加 密 ! 在 别处 存储 数据 很 容易 ， 但 出 于 安全 原因 ， 任 何 企业 数据 都 应 存储 在 数据 分 区 。 

2. 备份 


Google 为 Android 设备 提供 备份 服务 ， 诸 如 壁纸 、 设 置 、 词 典 以 及 浏览 器 设置 等 数 
据 都 可 以 进行 备份 。 当 手机 被 恢复 到 出 三 设置 ， 以 上 这 些 设置 都 可 恢复 。 但 敏感 数据 ， 如 
密码 、 锁 屏 密码 、 短 信和 通话 记录 都 不 会 被 备份 。 备 份 服务 也 只 能 使 用 BackupManagerAPI 
进行 访问 。 备 份 必须 通过 “设置 ”一 “隐私 选项 ”来 手动 启用 。 

Google 不 保证 备份 的 安全 ， 因 为 不 同 的 Android 版 本 实现 备份 的 方式 不 尽 相同 。 这 
种 备份 服务 可 能 无 法 适用 于 所 有 的 Android 设备 。 


8.3.3 ”安全 连接 


Android 系统 原生 支持 VPN， 管 理 员 可 以 建立 一 个 自 定义 的 VPN， 同 时 也 可 能 会 需 
要 使 用 VPN 进行 所 有 通信 。 这 在 通过 开放 热点 进行 连接 时 会 十 分 便利 。 最 新 的 功能 只 在 
Android 4.2 上 可 用 。 图 8-7 中 所 显示 的 是 该 手机 支持 的 一 些 VPN 协议 截图 。 

若 连接 到 一 个 无 线 网 络 ， 用 户 应 该 选择 一 个 安全 的 无 线 连 接 。 在 这 种 情况 下 ， 用 户 
将 被 提示 输入 密码 ， 如 图 8-8 所 示 。 
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Security 
WPA/WPA2 Psk 
Add PPTP VPN 


Add L2TP VPN 


Add L2TP/IPSec PSK VPN 


Save Cancel 


图 8-7 图 8-8 


Add L2TP/IPSec CRT VPN 


8.3.4 身份 


Android 支持 某 种 证 书库 以 便 将 证 书 存储 在 设备 上 。 同 时 ， 还 允许 经 授权 的 应 用 程序 
使 用 它 来 识别 电子 邮件 、 无 线 网 络 连 接 以 及 虚拟 专用 网 (Virtual Private Network, VPN) 。 
Android 支持 DER 编码 的 X.509 证 书 , 还 支持 X.509 证 书 存 储 为 PKCS#12 密 钥 库 文件 。 

Android 支持 Bouncy Castle 并 预 装 有 证 书 ， 这 可 在 cacerts.bks 密 钥 库 获取 。 

用 户 还 可 以 从 其 设备 内 存 中 安装 证 书 ,通过 导航 , 从 位 置 与 安全 (Location & Security) 
设置 进入 到 设置 下 的 从 SD 卡 安装 Install fom SD Card) 选项 ， 新 证 书 就 可 以 安装 到 设 
备 上 。 用 户 应 注意 安装 了 什么 证 书 ， 因 为 安装 非 合 法 证 书 可 能 危及 该 设备 的 安全 性 。 

要 删除 证 书 , 用 户 可 以 到 个 人 | 安全 | 证 书 存 储 | 可 信 证 书 (Personal | Security | Credential 
Storage | Trusted Credentials) 选项 下 去 禁用 或 删除 证 书 。 


84 后 续 步 又 


在 了 解 了 Android 支持 BYOD 的 功能 之 后 ， 本 节 讨论 如 何 利用 上 述 知识 来 推广 
Android 支持 企业 的 服务 。 
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8.4.1 设备 的 具体 决定 


为 了 充分 发 挥 Android 设备 的 功能 ， 设 备 必 须 与 Google 账户 关联 。 这 可 以 使 用 户 能 
够 访问 Google Play、 定 位 服务 以 及 使 用 许多 其 他 应 用 程序 ， 如 Gmail、 驱 动 器 、 日 历 和 
YouTube。 对 于 设备 管理 员 而 言 ， 重 要 的 问题 是 到 底 希 望 员 工 用 自己 的 Google 个 人 账户 
还 是 独立 的 企业 帐户 。 
另 一 个 重要 的 问题 是 定位 服务 的 启用 。 对 于 一 些 可 能 不 喜欢 被 追踪 的 高 级 员工 而 言 ， 
还 存在 着 隐私 风险 ， 另 一 方面 ， 如 果 设 备 失 窃 ， 启 用 定位 服务 则 有 助 于 确定 设备 的 位 置 。 
第 三 个 重要 的 问题 是 备份 和 存储 。 与 定位 服务 一 样 ， 备 份 和 存储 是 重要 的 功能 ， 但 
会 引发 隐私 泄露 的 忧虑 。 设 备 管理 员 可 能 会 强制 加 密 存 储 或 指定 一 个 私有 企业 云 存储 ， 
但 这 很 快 会 增加 维护 成 本 。 要 启用 备份 ， 用 户 必须 明确 进入 设置 | 隐私 (setting | privacy) 
选项 ， 选 择 “ 备 份 我 的 数据 (Back up my data) ”， 如 图 8-9 所 示 。 


Privacy settings 


Back up my data 


Automatic restore 


p 


Factory data reset 


图 8-9 


这 里 需要 注意 的 是 需要 妥善 处 理 被 root 提 权 的 Android 设备 。 要 提 权 一 台 Android 
设备 并 不 需要 太 多 时 间 ， 而 且 指令 也 随时 可 得 。 在 澳大利亚 、 欧 洲 和 美国 ， 提 权 设备 是 
合法 的 。 一 部 经 提 权 后 的 设备 无 法 满足 企业 使 用 的 安全 标准 ， 因 此 ， 对 于 设备 管理 员 来 
说 ， 检 测 已 提 权 的 设备 是 项 重要 的 考虑 因素 。 由 于 有 许多 方式 可 以 获取 设备 的 最 高 权限 ， 
因此 检测 十 分 不 易 。 
其 次 ， 员 工 从 应 用 商店 下 载 企 业 的 应 用 程序 也 存在 着 一 定 的 问题 。 除 了 GooglePlay 
应 用 市 场 之 外 ，Android 应 用 程序 还 可 以 从 其 他 应 用 商店 下 载 ， 如 Amazon App Store 和 
GetJar。 例如， 笔者 曾经 检查 发 现 有 128 个 以 上 的 应 用 商店 ， 应 用 程序 可 以 在 其 中 任何 一 
个 商店 托管 。 应 用 程序 也 可 以 从 网 站 或 通过 电子 邮件 或 通过 侧面 装载 (side loading) 进 
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行 下 载 。 设 备 管理 员 可 以 选择 为 企业 建立 应 用 程序 商店 来 解决 这 一 问题 ， 这 可 以 确保 此 
处 只 有 合法 的 应 用 程序 存在 。 为 了 使 应 用 程序 从 GooglePlay Re 用 户 必须 明 
确 选择 未 知 来 源 选 项 ， 如 图 8-10 所 示 。 


如 下 全 国术 站 全 .ol 11:02PM 
Applications 


Unknown sources 四 


Manage applications 
Running services 
Development 
Storage use 

Fast boot 


App associations 


图 8-10 


设备 管理 的 基本 思路 是 ， 该 设备 是 可 用 的 、 直 观 的 ， 并 应 保留 原生 体验 却 不 影响 安 
各 相 。 在 两 者 之 问 保 持平 衡 很 难 ， 但 的 确 是 个 挑战 。 

在 Android 这 个 不 断 发 展 、 充 满 活力 的 生态 系统 中 ， 需 要 Android 专家 和 热衷 于 
Android 的 爱好 者 ， 并 保持 与 Android 生态 系统 中 即将 发 生 的 变化 之 间 的 同步 。 为 了 使 知 
识 常 新 ， 需 要 敏锐 地 了 解 用 户 如 何 与 设备 之 间 进行 互动 ， 洞 察 该 领域 里 即将 产生 的 创新 。 
Android 专家 就 应 该 是 一 种 这 样 的 权威 人 士 ， 同 时 也 是 在 Android 设备 上 部 署 企业 应 用 程 
序 的 联络 点 。 


8.4.2 了 解 你 的 社区 


推广 的 第 二 个 重要 步骤 是 了 解 员工 基本 的 偏好 、 要 求 和 需求 。 这 个 步骤 很 重要 ， 关 
于 哪些 应 用 和 服务 是 员工 所 需 的 、 需 要 创建 何 种 访问 控制 和 安全 策略 等 ， 都 需要 做 出 明 
智 的 决定 。 收 集 关 于 他 们 对 设备 的 偏好 信息 (喜欢 手机 还 是 平板 电脑 ) 、 喜 爱 的 应 用 程 
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序 、 设 备 上 需要 的 访问 量 等 ， 这 些 信息 非常 重要 。 另 一 个 因素 是 地 域 上 的 多 样 性 。 没 有 
一 个 放 之 四 海 而 皆 准 的 解决 办 法 。 不 同 地 域 有 各 自 不 同 的 首选 设备 ， 有 各 自 喜 欢 的 应 用 
程序 ， 在 设备 上 与 企业 数据 进行 互动 情况 也 各 不 相同 。 


8.4.3 ”定义 边 寞 


清晰 界定 哪些 设备 被 接受 ， 哪 些 是 不 被 接受 的 ， 将 有 助 于 解决 Android 上 的 碎片 
(fragmentation) 问题 。 这 些 边界 应 基于 功能 而 非 版 本 来 设 定 ， 因 为 制造 商 和 运营 商 在 不 
同 的 设备 上 以 不 同方 式 安装 相同 的 版 本 。 
另 一 个 需要 界定 的 是 信任 。 一 个 公司 的 信息 技术 〈IT) 部 门 ， 应 该 在 基于 设备 功能 
水 平 提高 的 情况 下 去 允许 增加 存 取 权限 。 例 如 ， 如 果 一 个 设备 不 支持 全 盘 加 密 ， 则 只 可 
以 读 取 数据 ,而 不 能 将 其 存储 在 设备 上 。 由 于 Android 的 开放 式 应 用 程序 生态 系统 ， 定 期 
监测 用 户 安装 在 自己 设备 上 的 应 用 软件 非常 重要 。 
第 三 个 需要 界定 的 是 用 户 可 以 在 自己 的 设备 上 安装 的 应 用 程序 。 Android 应 用 程序 可 
以 从 不 同 的 来 源 安装 ， 这 些 来 源 不 像 Apple App Store 那样 ， 出 于 安全 目的 而 紧密 管理 应 
用 程序 。 为 保持 设备 安全 而 定义 哪些 应 用 Apple App Store 程序 是 允许 的 ， 哪 些 是 不 被 允 
许 的 ， 还 有 很 长 的 路 要 走 。 
Android 的 兼容 性 计划 
开放 性 是 Android 系统 的 目标 。 然 而 , 为 了 在 不 同 设备 上 获得 持续 的 用 户 体 验 , OEM 
(原始 设备 制造 商 ) 必须 参与 到 Android 的 兼容 性 计划 当中 。 该 计划 向 OEM 提供 工具 和 
指南 ， 这 样 就 可 以 正确 地 标注 其 自身 的 设备 ， 并 确保 应 用 程序 如 预期 般 地 在 设备 上 运行 。 
对 于 IT 人 员 来 说 ， 这 是 个 有 趣 的 项 目 ， 因 为 他 们 可 以 根据 兼容 级 别 定义 他 们 的 界限 。 
该 兼容 性 计划 提供 了 如 下 的 3 个 关键 组 件 。 
口 兼容 性 定义 文件 (Compatibility Definition Document，CDD) : 兼容 性 的 策略 文 
件 ， 它 定义 了 一 个 兼容 堆 的 要 求 。 例 如 ， 它 列 出 一 组 被 视 为 核心 的 Intent 到 
Android 堆 ， 这 些 Intent 应 该 总 是 得 到 支持 。 
口 兼容 性 测试 套件 (Compatibility Test Suite，CTS) : CTS 是 一 个 在 桌面 运行 的 免 
费 测试 套件 ,可 以 在 模拟 器 或 设备 上 自动 运行 兼容 性 测试 。 在 编写 此 书 时 , CTS 
包括 单元 测试 、 功 能 测试 、 健 壮 性 参考 测试 、 为 未 来 计划 的 性 能 测试 。 这 其 中 
包括 检测 硬件 功能 的 一 些 例子 ， 如 WiFi 和 蓝牙 。 
口 兼容 性 测试 套件 验证 (Compatibility Test Suite Verifier，CTS Verifier) : CTS 是 
一 个 在 桌面 上 运行 的 免费 测试 套件 ， 在 模拟 器 和 设备 上 需要 手动 输入 来 运行 兼 
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容 性 测试 。CTS Verifier 则 是 CTS 的 补充 。 
根据 上 述 标准 , 市 场 上 存在 3 种 类 型 的 Android 设备 , 表 8-2 显示 每 种 兼容 性 类 型 的 


表 8-2 
Google 引领 的 设备 Google 体验 设备 其 他 《开放 ) 设备 
纯粹 的 Android CTS 兼容 不 符合 CTS 
OEM 或 运营 商定 制 


非 OEM 或 运营 商定 制 OEM 和 运营 商 高 度 定制 


应 符合 Google 升级 承诺 


例如 ，Samsung Galaxy S11， | 例如 ,Kindle Fire, Motorola ET1 
Motorola XOOM, HTC Nexus One | HTC Rezound 等 平板 


例如 ，Samsung Galaxy Nexus， 


读者 可 以 决定 仅 支持 Google 引领 的 设备 和 Google 体验 设备 ， 它 们 几乎 提供 一 致 的 
功能 ， 稍 带 些 个 性 化 体验 。 


8.4.4 推出 支持 


规划 出 分 阶段 推出 Android 设备 的 支持 方案 。IT 部 门 可 以 先 从 试点 铺 开 ， 然 后 慢 慢 
进行 扩展 。 这 在 两 方面 有 所 帮助 : 第 一 ，IT 部 门 可 以 判断 他 们 的 支持 基础 设施 规模 是 否 
能 够 满足 用 户 数目 的 增加 ， 第 二 ， 他 们 可 以 基于 收集 到 的 统计 数据 ， 调 整 其 支持 。 随 着 
支持 方案 扩展 到 更 多 员工 ， 任 何 错误 和 遗漏 的 需求 都 可 以 弥补 。 

在 此 推广 期 间 ， 通 过 培训 、wiki 百科 、 海 报 和 快讯 来 对 员工 进行 教育 ， 将 有 助 于 员 
工 了 解 这 些 信息 。 这 也 有 助 于 他 们 了 解 为 什么 允许 某 些 设备 使 用 而 禁止 某 些 设备 使 用 ， 
背后 的 理由 是 什么 ， 当 用 这 些 设备 访问 企业 数据 时 ， 他 们 应 该 怎么 做 ， 怎 样 才 是 安全 的 
做 法 。 
8.4.5 “策略 和 制度 

回顾 所 有 上 述 步 骤 时 ， 不 要 对 这 一 领域 里 的 新 兴 标 准 和 法 规制 度 漠不关心 。 要 及 时 
了 解 对 BYOD、MDM 和 MAM 领域 的 研究 ， 以 及 不 同 公司 所 采纳 的 新 方法 。 

1. FINRA 


美国 金融 业 监 管 局 (Financial Industry Regulatory Authority，FINRA) 是 美国 规模 最 
大 的 、 对 所 有 在 美国 开展 业务 的 证 券 公司 进行 独立 监管 的 机 构 。FINRA 的 使 命 是 通过 确 
保证 券 行业 公平 诚实 营业 来 保护 美国 的 投资 者 。 它 们 发 布 了 关于 监管 在 其 成 员 公 司 移 动 
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设备 上 的 电子 通信 的 指导 原则 ， 这 些 都 需要 结合 企业 自身 的 分 析 加 以 考虑 。 关 于 这 部 分 
内 容 的 详细 信息 ， 可 以 查阅 FINRA 的 网 站 www.finra.org， 以 便 了 解 更 多 信息 。 针 对 个 人 
移动 设备 和 社交 网 站 日 益 泛 滥 的 实际 ，FINRA 发 布 了 3 则 公告 。 它 建议 在 任何 情况 下 
要 给 予 员工 适当 的 培训 、 保 存 记录 、 在 社交 媒体 网 站 理智 发 帖 及 持续 督导 。 

FINRA 于 2007 年 12 月 发 布 了 第 一 则 监管 通知 07-59 (https://www .finra.org/web/groups/ 
industry/@ip/@reg/(@notice/documents/notices/p037553.pdf) 。 这 则 公告 提供 了 有 关 监 管 通 
过 移动 设备 进行 电子 通信 的 核心 准则 。 它 主张 企业 电子 邮件 应 始终 流 经 企业 邮件 系统 ， 
而 不 应 通过 个 人 账户 转发 ， 这 些 企业 电子 邮件 应 该 只 流 过 被 监控 的 网 络 ， 这 将 使 电子 邮 
件 得 到 适当 的 监督 。 

FINRA 的 第 二 则 监管 公告 10-06 于 2010 年 1 月 发 布 , 侧重 于 社交 媒体 网 站 和 博客 的 使 用 
(http://www .finra.org/web/groups/industry/(@IP/(@reg/(@notice/documents/notices/p120779.pdf) 。 
该 公告 明确 表明 员工 不 应 在 社交 媒体 网 络 上 使 用 商业 账户 。 这 些 网 站 应 该 不 断 为 员工 代 
表 筛选 ， 因 为 误导 信息 可 能 会 对 投资 者 产生 不 利 影响 。 

第 三 则 监管 公告 11-39 于 2011 年 8 月 发 布 ， 它 将 指导 方针 扩展 到 个 人 设备 和 社交 媒 
体 网 站 ( http://www.finra.org/web/groups/industry/@ip/@reg/@notice/documents/notices/ 
p124186.pdf) 。 此 公告 声明 ， 员 工 可 以 使 用 个 人 设备 进行 通信 ， 只 要 这 条 信息 可 检索 并 
独立 于 个 人 通信 之 外 。 正 如 持续 的 培训 ， 不 断 的 监督 设备 也 至 关 重 要 。 

2. Android 更 新 联盟 

遵守 标准 并 非 易 事 。 在 2011 年 5 月 举行 的 Google VO 大 会 上 ，Google 与 其 他 许多 设 
备 制造 商 组 成 Android 更 新 联盟 , 承诺 在 18 个 月 内 为 新 设备 更 新 Android 的 任何 新 版 本 ， 
该 想法 崇高 而 备 受 赞赏 ， 但 OEM 厂商 却 难以 跟 进 。 


8.5 小 结 


本 章 重 点 关注 对 企业 数据 进行 访问 的 企业 和 员工 所 持 有 的 设备 的 管理 。 随 着 越 来 越 
多 的 员工 要 求 在 他 们 的 移动 设备 上 访问 公司 数据 ， 对 于 BYOD 技术 而 言 ， 问 题 是 信任 、 
合 规 、 治 理 和 隐私 ， 用 户 体验 和 安全 性 之 间 需 要 保持 一 种 微妙 的 平衡 。 本 章 开头 先 探讨 
了 富有 挑战 性 和 吸引 力 的 Android 生态 系统 ， 其 次 讨论 了 设备 管理 实施 细则 以 及 由 
Android 软件 开发 包 提供 的 其 他 企业 功能 。 最 后 围绕 着 合 规 性 和 安全 策略 ， 就 开始 在 企业 
空间 支持 Android 需要 考虑 的 举措 展开 讨论 。 

接 下 来 即将 转 入 第 9 章 的 学 习 ， 讨 论 从 安全 角度 测试 Android 应 用 程序 。 
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毫 无 疑问 ， 本 章 是 本 书 当中 最 为 重要 的 章节 。 开 发 人 员 总 会 尽 其 所 能 的 去 编写 优美 
而 实用 ， 并 且 是 安全 的 代码 。 他 们 都 曾经 经 历 过 为 一 个 好 主意 而 激动 不 已 ， 并 着 力 于 付 
诸 实施 ， 在 实现 的 过 程 当中 也 会 遇见 疯狂 的 时 间 表 和 非常 短暂 的 时 间 期 限 。 因 此 ， 所 编 
写 的 代码 或 多 或 少 都 会 存在 缺陷 。 所 以 ， 测 试 缺陷 则 是 任何 代码 生命 周期 中 不 可 缺少 的 
一 部 分 。 

如 今 ， 大 多 数 的 测试 用 例 均 关注 于 可 用 性 、 功 能 和 压力 测试 。 在 大 多 数 情况 下 ， 测 
试 工程 师 在 进行 安全 性 测试 时 都 会 有 些 手 足 无 措 。 忽 视 遵 从 性 和 安全 性 的 应 用 程序 往往 
需要 重新 设计 或 实现 。 就 拿 出 于 完整 性 目的 而 创建 一 个 消息 摘要 的 例子 来 说 ， 开 发 人 员 
可 能 会 使 用 SHA-1 创建 一 个 160 位 的 摘要 。 在 服务 器 端 ， 数 据 库 被 设计 成 可 以 容纳 160 
位 数据 。 当 执行 安全 审查 发 现 ， 使 用 SHA-1 的 强度 不 够 ， 需 要 升级 至 SHA-256。 由 于 数 
据 库 被 设计 成 只 能 容纳 160 位 ， 这 种 情况 下 就 演变 成 一 个 在 客户 端 进行 快速 修复 的 挑战 ， 
整个 设计 必须 改变 ， 这 样 事态 就 变 得 严重 起 来 了 。 这 样 做 将 会 非常 浪费 时 间 ， 特 别 是 考 
虑 到 移动 生态 系统 是 快 节奏 的 并 且 通 常会 是 瞬 态 这 样 一 种 情况 的 时 候 。 

本 章 旨 在 介绍 安全 性 测试 的 概念 。 首 先 将 从 有 关 测试 的 概述 开始 。 如 果 已 经 对 测试 
工作 比较 熟悉 ， 可 以 轻松 地 跳 过 这 一 节 的 学 习 ， 随 后 ， 将 讨论 安全 性 测试 以 及 应 用 程序 
安全 性 测试 的 方法 ， 即 安全 审查 、 手 工 测试 和 自动 化 测试 。 后 面 的 章节 将 讨论 一 些 安全 
性 测试 样 例 ， 可 以 作为 编写 测试 的 基线 。 本 章 结 尾部 分 将 会 讨论 开发 人 员 和 测试 工程 师 
可 用 于 测试 用 例 的 开发 和 安全 性 测试 的 工具 和 资源 。 


9.1 测试 概述 


在 大 量具 有 不 同 功能 、 形 成 因素 和 版 本 的 设备 中 ，Android 是 一 个 用 于 测试 的 最 具 挑 
战 性 的 操作 系统 。 获取 基本 功能 并 进行 用 户 体 验 本 身 就 是 一 个 挑战 。 图 9-1 说 明了 通常 在 
一 个 Android 应 用 程序 开发 文档 中 执行 的 测试 。 正 如 Bruce Schneier (当代 一 位 伟大 的 密 
码 学 家 ) 所 恰当 描述 的 那样 ，“ 安 全 不 是 产品 ， 而 是 一 个 过 程 (Security is not a product 
but a process) ”， 所 以 可 以 看 到 安全 性 测试 已 经 被 增加 到 应 用 程序 测试 的 整个 生命 周 
期 当中 。 
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图 9-1 


下 面 将 会 从 Android 角度 出 发 , 分 别 对 各 个 类 别 、 单 元 测试 、 集 成 测试 和 系统 测试 进 
行 介绍 。 
口 单元 测试 (Unit testing) : 大 多 数 情况 下 ， 是 由 编写 模块 的 开发 人 员 开 发 单元 测 
试 。 在 将 他 们 的 代码 交 给 测试 工程 师 之 前 ， 开 发 者 应 该 先 编写 并 对 他 们 的 模块 
进行 单元 测试 。 用 于 单元 测试 的 Android SDK 和 开发 APIs 捆绑 在 一 起 ， 该 架构 
在 JUnit 上 实现 ， 这 是 一 个 流行 的 Java 单元 测试 架构 ， 单 元 测试 可 以 很 容易 地 
自动 化 。 这 些 测 试 包括 边界 测试 、 输 入 验证 测试 并 与 后 台 连 接 。 
口 集成 测试 (Integration testing) : 一 旦 完成 单元 测试 并 集成 了 各 种 组 件 之 后 ， 就 
要 开始 执行 集成 测试 ， 用 以 确保 各 种 不 同 的 组 件 能 够 在 一 起 正常 协同 工作 。 这 
种 测试 通常 是 在 当 组 件 被 捆绑 在 一 起 时 执行 。 假 设 现在 有 两 个 独立 运作 的 团队 ， 
一 个 负责 登录 模块 ， 而 另 一 个 则 负责 搜索 结果 页 面 。 在 模块 开发 完成 后 ， 这 两 
个 团队 的 成 果 就 要 整合 在 一 起 ， 因 此 必须 要 执行 测试 以 便 检 查 这 两 个 整合 在 一 
起 的 模块 。 目 前 ， 大 多 数 开发 环境 都 使 用 持续 集成 ， 这 种 持续 集成 将 会 执行 将 
两 个 模块 编译 在 一 起 的 可 用 性 测试 (sanity test) 。 
口 系统 测试 (System testing) : 这 些 测 试 是 测试 整个 应 用 程序 并 且 测 试 它们 如 何 
与 Android 平台 进行 交互 。 系 统 测试 的 一 些 场 景 包括 测试 在 不 同 的 平台 如 何 进行 
搜索 的 功能 以 及 Android 手机 上 的 差异 如 何 影 响 搜索 结果 的 显示 等 。 
安全 性 测试 应 该 在 测试 的 每 个 阶段 执行 。 例 如 ， 在 单元 测试 当中 ， 开 发 人 员 应 该 对 
不 一 致 和 不 正确 的 输入 值 、 缓 冲 区 溢出 以 及 用 户 的 访问 级 别 进行 测试 。 

在 集成 测试 当中 ， 工 程 师 可 以 测试 两 个 模块 之 间 的 安全 数据 传输 以 及 传递 错误 数据 
的 行为 。 

在 系统 测试 阶段 ， 工 程 师 可 以 测试 应 用 程序 在 不 同 Android 平台 的 外 观 和 行为 。 就 
Android 本 身 而 言 ,由 于 Android 设备 的 变化 以 及 不 同 供应 商 和 运营 商 的 应 用 程序 堆 功能 ， 
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这 将 是 一 个 特别 重要 的 测试 阶段 。 
任何 前 面 提 到 的 测试 套件 通常 都 包含 一 系列 不 同类 型 的 测试 ， 如 图 9-2 所 示 。 应 当 
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注意 的 是 ， 在 这 里 又 一 次 将 安全 性 测试 添加 到 其 中 。 


Functional Tests 


Compatibility Tests Regression Tests 


_ Usability Tests 
Integration Tests 


Localization Tests Security Tests 


图 9-2 


功能 测试 (Functional test) : 这 种 类 型 的 测试 用 以 检查 应 用 程序 能 够 按照 预期 
的 行为 进行 执行 。 例 如 ， 当 用 户 输入 用 户 名 和 密码 并 按 下 Enter 键 时 ， 登 录 功 能 
将 对 该 案例 进行 功能 性 测试 。 如 果 赁 证 有 效 ， 则 用 户 可 以 登录 到 系统 ， 否 则 将 
显示 一 个 错误 。 此 时 就 可 以 去 验证 不 同 出 错 情况 下 是 否 会 生成 准确 的 错误 消息 。 
本 地 化 测试 (Localization test) : 如 今 大 部 分 应 用 程序 是 全 球 性 的 ， 在 不 同 的 国 
家 都 是 可 用 的 。 要 支持 不 同 地 区 ， 应 用 程序 必须 本 地 化 和 国际 化 。 本 地 化 是 指 
语言 翻译 ， 国 际 化 是 指 根据 特定 地 区 的 规范 调整 应 用 程序 。 例 如 ， 一 个 支持 日 
文 地 址 信息 的 视图 〈 即 在 支持 语言 国家 列表 当中 增加 日 本 ) 。 本 地 化 (应 用 程 
序 ) 会 将 其 中 的 Address Line 1、Address Line 2、City、State、Zip 以 及 Country 
等 提示 信息 翻译 成 对 应 的 日 文 。 但 是 ， 日 本 的 地 址 系统 与 常规 的 罗马 系统 不 尽 
相同 。 用 于 接收 地 址 信息 的 界面 视图 必须 重新 设计 ， 一 些 标签 可 能 需要 来 回调 
换 位 置 。Android 系统 拥有 一 个 非常 友好 的 用 户 框架 ， 该 框架 用 来 存储 字符 串 和 
可 供 开 发 人 员 充 分 利用 的 本 地 化 的 界面 视图 。 当 开拓 应 用 程序 新 市 场 时 最 好 是 
与 本 地 化 专家 咨询 以 便 能 够 更 好 地 实现 本 地 化 。 

可 用 性 测试 (Usability test) : 也 称 为 UI 测试 ， 这 些 测试 专注 于 用 户 界面 的 外 
观 ， 并 确保 用 户 很 容易 输入 或 阅读 屏幕 上 的 信息 、 改 变 应 用 程序 的 外 观 形 状 和 
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通用 流程 。 对 于 一 个 屏幕 空间 受 限 或 屏幕 尺寸 不 同 的 设备 来 说 ， 可 用 性 测试 是 
非常 重要 的 一 个 环节 。 

口 “ 硬件 兼容 性 测试 (Hardware compatibility test) : 该 测试 套件 针对 在 不 同 的 设备 
上 用 于 应 用 程序 硬件 特性 进行 测试 。 例 如 ， 如 果 一 个 应 用 程序 使 用 设备 的 摄像 
头 ， 应 该 执行 测试 检查 代码 是 否 能 正常 工作 在 不 同 设备 的 摄像 头 上 ， 这 些 摄像 
头 有 不 同 的 对 焦 能 力 。 

口 ”回归 测试 (Regression test) : 通常 所 指 的 是 这 样 的 一 些 自动 化 测试 ， 它 们 会 伴 
随 在 应 用 程序 的 每 一 个 变化 之 后 出 现 ， 以 确保 应 用 程序 仍然 能 够 像 预 期 的 那样 
正常 工作 。 例 如 ， 在 书店 应 用 程序 中 可 能 会 确定 关键 部 分 的 功能 ， 如 登录 、 注 
销 、 寻 找 书籍 并 且 添加 一 本 书 到 愿望 清单 。 每 当 添加 一 个 新 功能 或 更 新 现 有 的 
特性 ， 都 要 执行 这 些 可 用 性 测试 以 确保 不 出 什么 问题 。 

有 关 安 全 测试 的 内 容 将 会 在 随后 的 章节 当中 进行 详细 讨论 。 

这 些 大 部 分 测试 用 例 是 串 在 一 起 彼此 配合 工作 的 。 例 如 ， 为 了 测试 一 个 新 国家 的 地 

址 页 面 ， 本 地 化 测试 和 UI 测试 必须 同时 进行 。 


9.2 ”安全 性 测试 的 基础 知识 


这 一 部 分 将 会 是 有 关 安 全 性 测试 的 概述 。 在 本 节 当 中 将 会 讨论 安全 性 支柱 ， 讨 论 可 
以 开发 安全 性 测试 的 类 型 。 最 后 的 部 分 将 会 讨论 不 同 种 类 的 安全 性 测试 。 


9.2.1 安全 原则 


任何 类 型 的 应 用 程序 安全 性 测试 都 应 该 遵循 如 下 的 安全 六 原则 ， 即 身份 验证 
(CAuthentication)、 授 权 (Authorization)、 可 用 性 (Availability)、 机 密 性 (Confidentiality) 、 
完整 性 〈Integrity) 和 不 可 抵赖 性 (Non-repudiation) ， 如 图 9-3 所 示 。 第 6 章 已 经 介绍 
了 这 些 概念 以 及 实现 它们 。 
身份 验证 是 用 来 识别 用 户 的 措施 ,可 以 使 用 来 自 Facebook、Twitter、LinkedIn 和 了 PayPal 
等 公司 的 身份 验证 APIs。 主 协议 使 用 OAuth 和 OpenIDConnect。 这 些 技术 用 于 处 理 来 自 
应 用 程序 的 身份 验证 任务 。 对 于 应 用 程序 开发 人 员 和 用 户 来 说 这 是 一 个 双赢 的 条 件 。 应 
用 程序 开发 人 员 不 需要 自行 去 实现 模式 ， 转 而 使 用 内 置 的 身份 验证 机 制 。 另 一 方面 ， 用 
户 不 需要 与 他 们 所 不 信任 的 应 用 程序 分 享 个 人 信息 。 这 有 助 于 一 些 公司 开发 例如 推动 网 
站 访问 量 的 计划 。 这 些 技术 大 部 分 是 基于 为 用 户 提供 一 个 身份 验证 令 牌 。 在 第 10 章 中 将 
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会 讨论 身份 验证 的 一 些 新 进展 。 


— 会 Authorization 
Security 


Testing 


Non- 是 Availability 


repudiation 


Confidentiality 


图 9-3 


授权 是 指 访问 控制 , 决定 用 户 是 否 有 适当 的 权限 来 访问 资源 。 在 Android 当中 这 可 以 
通过 保护 应 用 程序 组 件 的 权限 和 尽 可 能 检查 调用 者 的 身份 来 实现 。 

可 用 性 意味 着 数据 应 该 在 授权 用 户 需 要 时 可 以 使 用 。 使 用 broadcast 和 Intent 的 数据 
可 以 确保 这 个 安全 措施 。 

机 密 性 是 指 保持 数据 安全 并 且 仅 向 目的 方 进行 展现 。 加 密 数 据 、 使 用 适当 的 权限 以 
及 符合 Android Sandbox 〈 沙 箱 ) 机 制 可 以 帮助 这 个 安全 措施 。 

完整 性 意味 着 数据 无 论 在 传送 状态 还 是 在 静止 状态 都 没有 被 修改 。 一旦 数据 被 算 改 ， 
此 类 算 改 就 会 被 识别 出 来 。 无 论 在 传送 状态 还 是 在 静止 状态 ， 添 加 消息 摘要 、 数 字 签 名 
和 加 密 数据 都 有 助 于 保证 数据 的 完整 性 。 

不 可 抵赖 性 可 以 通过 使 用 数字 签名 、 时 间 惟 和 证 书 ， 确 定 发 送 者 不 能 否认 所 发 送 数 
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据 。 在 第 6 章 中 所 讨论 的 DRM 就 被 实现 用 于 保证 用 户 无 法 否认 接收 的 内 容 。 
9.2.2 ”安全 性 测试 类 别 


请 牢记 上 述 安全 原则 。 安 全 性 测试 可 以 分 为 如 下 3 类 : 应 用 程序 审查 、 人 工 测试 和 
动态 测试 (自动 化 测试 )。 

1， 应 用 程序 审查 

安全 性 测试 的 第 一 步 是 应 用 程序 审查 过 程 。 该 过 程 侧重 于 理解 应 用 程序 、 识 别 硬件 、 
不 同 的 技术 以 及 应 用 程序 所 使 用 到 的 功能 。 一 旦 这 些 特征 被 识别 ， 审 查 者 会 试图 访问 这 
些 功能 当中 的 安全 漏洞 。 审 查 过 程 识别 在 清单 文件 中 声明 当中 存在 的 问题 、 使 用 已 经 破 
解 的 或 者 是 弱 加 密 的 密码 、 不 安全 的 协议 使 用 以 及 在 开发 过 程 中 可 能 漏 掉 的 技术 性 和 硬 
件 的 安全 问题 。 它 涵盖 了 合 规 性 和 标准 ， 以 及 它们 被 适当 地 使 用 等 多 方面 的 内 容 。 

在 清单 文件 中 能 够 被 识别 出 的 一 些 安全 问题 的 例子 包括 清单 文件 中 多 余 的 权限 ， 这 
些 权限 通常 为 应 用 程序 不 需要 但 被 添加 用 于 调试 的 目的 、 非 保护 组 件 使 用 权限 、 忘 记 关 
闭 调试 模式 以 及 日 志 等 。 

合 规 性 是 基于 用 例 的 。 不 同 的 标准 被 应 用 于 编写 应 用 程序 的 用 例 。 例 如 ， 付 款 和 商 
业 用 例 应 用 程序 可 能 着 眼 于 PCC-DSS (支付 卡 行业 一 数据 安全 标准 ) 。 基 于 地 理 位 置 
的 应 用 程序 必须 意识 到 隐私 问题 。 

如 今 ， 安 全 审计 公司 开始 出 现 ， 它 们 专注 于 移动 应 用 程序 审查 过 程 。 如 果 有 疑问 可 
以 具体 去 咨询 这 些 机 构 。 

2， 人 工 测试 

顾名思义 ， 人 工 安全 测试 是 在 开发 期 间或 由 测试 工程 师 手工 完成 。 测 试 工程 师 会 观 
察 在 不 同 场景 不 同 输入 的 情况 下 应 用 程序 的 行为 。 这 些 例子 当中 包括 了 通过 查看 日 志 来 
验证 是 否 会 有 敏感 信息 被 泄露、 多 次 返回 前 次 Activity 以 查看 应 用 程序 如 何 执行 、 尝 试 破 
解 应 用 程序 的 身份 验证 方案 以 及 检查 用 户 是 否 有 适当 的 访问 等 。 诸 如 uTest (wwwutest 
com) 等 之 类 的 公司 可 以 雇用 人 工 测试 人 员 专 门 为 应 用 程序 执行 人 工 测试 。 

3. 动态 测试 

动态 测试 也 称 为 自动 化 测试 。 此 类 测试 是 在 理想 情况 下 由 编写 的 测试 脚本 执行 。 诸 
如 非法 输入 、 压 力 测试 、 模 糊 测 试 以 及 边界 测试 等 类 的 测试 都 可 以 很 容易 地 进行 自动 化 
测试 。 这 些 测试 当中 的 绝 大 部 分 可 以 很 容易 地 成 为 标准 开发 /测试 周期 的 一 部 分 ， 此 外 ， 
当 添 加 新 特性 时 可 以 作为 可 用 性 测试 。 可 以 使 用 专门 从 事 这 一 领域 的 安全 公司 的 服务 ， 
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例如 Device Anywhere (www.deviceanywhere.com) 。 
9.3 样 例 测 试用 例 场景 描述 


本 节 试 图 从 安全 的 角度 列举 一 些 很 有 趣 的 样 例 测试 用 例 。 这 些 用 例 之 间 没 有 特定 的 
先后 顺序 ， 当 为 特定 用 例 确定 测试 用 例 时 ， 可 以 以 它们 作为 参考 。 


9.3.1 服务 器 测试 


移动 生态 系统 非常 有 趣 ， 它 很 年 轻 而 且 还 在 不 断 进 化 。 应 用 程序 可 能 想 发 送 一 组 数 
据 到 服务 器 上 ， 但 是 服务 器 收 到 的 数据 可 能 截然 不 同 。 这 其 中 的 原因 可 能 是 通信 通道 的 
问题 ， 在 数据 传递 过 程 中 由 于 黑客 嗅 探 并 进行 了 算 改 ; 或 者 是 客户 端 发 送 了 错误 的 数据 。 
不 管 是 基于 何 种 原因 ， 仅 进行 应 用 程序 的 测试 是 远 远 不 够 的 ， 服 务 器 端的 测试 才 是 应 用 
程序 安全 性 的 关键 所 在 ,这些 测 试 所 关注 的 是 : 在 服务 器 端 接收 到 的 是 否 是 所 需要 的 、PIT 
在 服务 器 上 是 否 以 明文 存储 、 业 务 逻辑 是 否 驻 留 在 客户 端 上 并 且 正 常 工作 等 ， 这 正如 在 
第 6 章 当中 所 讨论 的 一 样 。 

该 领域 的 测试 是 比较 成 熟 的 ， 拥 有 大 量 的 示例 和 工具 可 用 于 服务 器 测试 。 例 如 ， 使 
诸如 Nmap 的 端口 扫描 工具 可 以 很 容易 地 检查 开放 端口 和 防火 墙 。 


9.3.2 ”网 络 测试 


基础 设施 层 是 移动 设备 的 骨干 ， 它 使 移动 性 无 所 不 在 。 同 时 ， 它 也 带 来 了 新 的 挑战 
和 测试 用 例 。 设 备 使 用 不 同 的 协议 与 服务 器 通信 ， 其 中 的 每 种 设备 都 会 相应 带 来 其 自身 
所 独特 的 安全 漏洞 包 。GSM 很 容易 被 破解 ， WiFi 本 质 上 是 不 安全 的 ,特别 是 如 果 连 接 到 
一 个 恶意 的 无 线 热点 上 。LTE 长 期 演进 ，Long Term Evolution) 是 针对 高 速 无 线 数据 
通信 的 一 个 新 标准 。 该 标准 是 基于 卫 协议 的 ， 但 尚未 彻底 测试 过 ; “NFC、 蓝 牙 和 RFID 
等 近 场 技术 则 带 来 完全 不 同 的 测试 范例 。 因 此 重要 的 是 要 测试 应 用 程序 正在 使 用 的 技术 
并 构建 围绕 它 的 测试 用 例 。 


9.3.3 ”保证 传输 当中 的 数据 安全 


如 果 应 用 程序 使 用 的 是 传输 层 安全 性 (Transport Layer Security，TLS) 来 传输 数据 是 
最 好 不 过 的 。 但 为 了 确保 它 被 正确 实施 ， 要 对 其 进行 测试 。 测 试 所 有 客户 端 和 服务 器 之 
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间 的 通信 是 被 加 密 的 、 没 有 PII 或 密 钥 是 通过 明文 传输 的 ; 切记 序列 化 和 模糊 处 理 是 不 加 
密 的 ， 确 保 服 务 器 始终 检查 证 书 有 效 性 和 证 书 到 期 ， 检查 所 使 用 的 加 密 算 法 和 协议 对 用 
例 是 否 是 通用 的 和 足够 安全 的 。 


9.3.4 安全 存储 


在 客户 机 上 不 存储 私 铀 、 用 户 名 、 密 码 以 及 其 他 PII 等 敏感 数据 一 直 是 一 个 好 主意 。 
在 理想 情况 下 ， 这 些 信息 应 该 存储 在 服务 器 上 。 如 果 密 钥 必 须 存 储 在 客户 端 ， 首 先 它 们 
不 应 该 以 明文 存储 ; 其 次 ， 它 们 不 应 该 存储 在 文件 、 缓 存 文件 或 SharedPreferences 当中 。 
密 钥 应 该 存储 在 keystore 和 AccountManager 当中 ， 并 且 所 有 敏感 信息 都 应 该 以 加 密 方式 
存储 。 在 大 多 数 情况 下 ， 可 以 存储 为 一 个 散 列 值 而 不 是 一 个 密码 。 


9.3.5 ”在 行动 前 验证 


验证 输入 、 数 据 以 及 应 用 程序 的 不 同 组 件 之 间或 应 用 程序 之 间 被 传递 的 调用 器 。 任 
何 Activity 都 可 以 对 Intent 中 的 任何 数据 类 型 打包 , 接收 组 件 在 响应 之 前 要 进行 测试 和 验 
证 。 这 种 情况 下 的 测试 将 包括 传递 无 效 的 和 错误 的 数据 给 一 个 组 件 并 观察 它 如 何 活动 。 

某 些 情况 下 ， 在 响应 来 自 它们 的 请 求 之 前 可 以 检查 调用 者 身份 。 使 用 它 ， 尤 其 是 启 
动 敏感 的 响应 之 前 ， 检 查 调用 者 身份 和 即将 要 用 到 的 数据 。 


9.3.6 ”最 小 特权 原则 


此 类 测试 包括 测试 不 同 应 用 程序 组 件 的 权限 , 并 确保 它们 有 可 以 正常 工作 的 最 小 特权 。 
这 当中 包括 检查 文件 、 缓 存 文件 以 及 SharedPerferences 可 见 性 以 及 可 访问 性 的 权限 ;检查 其 
是 否 真 的 需要 一 个 MODE_ WORLD_ READABLE 或 者 MODE_ WORLD_WRITABLE 许可 。 

检查 应 用 程序 请 求 的 权限 。 例 如 ， 如 果 不 需要 细 粒 度 的 位 置信 息 访 问 ， 那 么 可 以 只 
要 求 粗 粒 度 的 许可 ;如 果 只 需要 读 短 信 ， 那 就 不 需要 读 和 写 短 信 的 权限 。 随 着 消费 者 越 
来 越 意识 到 移动 领域 的 安全 问题 ， 如 果 应 用 程序 请 求 的 权限 没有 意义 ， 他 们 可 能 会 怀疑 
应 用 程序 的 安全 性 。 例 如 ， 图 书 阅 览 应 用 程序 访问 用 户 联系 人 列表 和 设备 的 摄像 头 多 半 
是 没有 意义 的 。 


9.3.7 “管理 责任 


应 当 注 意 所 在 地 区 的 法 规制 度 。 被 动 进入 责任 诉讼 是 一 件 很 麻烦 的 事情 ， 因 此 应 该 
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远离 它们 。 此 外 ， 如 果 使 用 专注 于 这 些 问 题 的 第 三 方 工具 和 服务 是 非常 有 意义 的 事情 ， 
应 该 尽 一 切 可 能 去 使 用 这 些 工 具 和 服务 。 如 果 应 用 程序 收集 用 户 数据 ， 务 必要 确保 应 用 
程序 已 经 取得 用 户 的 同意 ， 所 有 要 收集 到 的 信息 都 应 该 列举 出 来 。 例 如 ，《 加 利 福 尼 亚 
在 线 隐私 保护 法 》 指 出 ， 如 果 一 个 应 用 程序 在 加 州 收集 信息 则 必须 要 公开 。 

再 来 看 一 个 处 理 支 付 的 应 用 程序 用 例 。 这 里 并 没有 试图 自行 开发 支付 解决 方案 ， 而 
是 使 用 现 有 的 如 PayPal 之 类 的 工具 处 理 用 户 支 付 的 款项 。 这 方面 有 例如 PCI-DSS 这 样 的 
准则 来 控制 如 何 使 用 这 些 功能 。 

类 似 地 ， 可 以 使 用 时 间 测 试 和 工业 测试 的 安全 套件 和 库 ， 而 不 是 自行 设计 和 开发 本 
土 安全 算法 和 协议 。 
注意 应 用 程序 在 所 支持 的 国家 区 域 里 面 是 如 何 使 用 的 。 不 同 的 国家 有 不 同 的 规章 制 
度 ， 其 PI 定义 也 是 不 同 的 。 


9.3.8 清理 


首先 ， 不 要 将 敏感 信息 记录 到 日 志 信 息 当 中 。 在 发 布 应 用 程序 之 前 ， 请 确保 关闭 调 
试 状态 。 清 理 所 有 来 自 文件 、cookies 和 缓存 的 敏感 信息 ， 即 内 存 归 零 。 


9.3.9 可 用 性 与 安全 性 


在 可 用 性 和 安全 性 之 间 进 行 权衡 是 一 门 复杂 且 微 妙 的 艺术 。 应 用 程序 可 能 会 鉴于 方 
便 性 而 保存 用 户 名 、 密 码 以 及 会 话 令 牌 ， 但 这 么 做 也 会 降低 安全 性 。 如 果 应 用 程序 具有 
记忆 用 户 标 识 的 某 些 功能 ， 那 么 就 要 权衡 便利 性 和 安全 性 。 这 可 能 需要 决定 限制 会 话 长 
度 并 限制 让 cookies 和 令 牌 存活 多 久 。 


9.3.10 ”身份 验证 方案 
这 里 的 问题 是 是 否 需要 去 验证 设备 或 用 户 。 设 备 有 可 能 会 丢失 或 被 盗 ， 根 据 诸 如 
IMEI、IMSI、UDID 之 类 的 设备 特性 来 识别 用 户 可 能 不 是 一 个 很 好 的 身份 验证 方案 。 应 


该 具备 远程 消除 和 重 置 功 能 。 通 常 一 些 开发 者 可 能 喜欢 采用 基于 生物 统计 学 的 身份 验证 
机 制 或 双 要 素 身 份 验证 方案 对 用 户 进行 身份 验证 。 


9.3.11 像 黑 客 一 样 思考 


像 黑客 一 样 思考 ， 测 试 黑客 如 何 试图 破解 应 用 程序 。 使 用 可 用 的 工具 和 互联 网 已 经 
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列 出 的 安全 漏洞 ， 用 黑客 使 用 的 工具 来 测试 应 用 程序 ， 可 以 透露 黑客 会 看 到 什么 、 他 们 
将 会 得 到 什么 信息 、 他 们 什么 时 候 会 试图 破解 应 用 程序 之 类 的 信息 。 有 一 些 现成 的 工具 
可 以 用 来 监控 通过 应 用 程序 的 网 络 流量 ， 如 Fiddler (www.fiddler2.com) 等 。 重 要 的 是 要 
记 住 ， 混 乱 的 代码 不 会 很 安全 。 


9.3.12 ”谨慎 集成 


无 论 是 否 集成 硬件 (包括 内 部 和 外 部 ) 或 第 三 方 应 用 程序 ， 一 定 要 小 心 。 

如 果 应 用 程序 使 用 一 些 硬件 组 件 如 相机 、 蓝 牙 、NFC 芯片 、 加 速 计 (accelerometer) 、 
麦克 风 或 GPS， 那 么 测试 它们 的 安全 性 是 很 重要 的 。 任 何 硬 件 的 缺陷 都 会 影响 应 用 程序 
的 整体 安全 。 

同样 ， 一 个 第 三 方 库 的 错误 可 能 导致 应 用 程序 被 破坏 。 当 结合 这 样 一 个 外 部 库 时 ， 
首先 要 去 查看 这 些 组 件 的 测试 结果 、 检 索 在 线 情况 并 寻求 适当 的 建议 。 


9.4 安全 测试 资源 


本 节 侧重 于 可 以 创造 性 地 应 用 于 测试 应 用 程序 安全 的 工具 、 技 术 以 及 其 他 的 一 些 资源 。 
9.4.1 OWASP 


开放 式 Web 应 用 程序 安全 项 目 (Open Web Application Security Project,， OWASP) 是 
一 家 致力 于 移动 安全 的 组 织 。 它 们 提供 移动 安全 领域 内 的 工具 和 研究 成 果 。 有 关 该 组 织 
的 详细 信息 ， 请 参见 网 站 https:/www.owasp.org。 这 是 一 个 搜寻 安全 相关 问题 的 好 地 方 ， 
有 助 于 开源 、 创 新 以 及 参与 移动 安全 的 讨论 。OWASP 每 年 都 会 编制 十 大 安全 漏洞 列表 ， 
其 社区 的 工作 非常 具有 挑战 性 。 


9.4.2 Android 工具 


Android 提供 了 一 系列 的 工具 , 可 以 创造 性 地 用 于 测试 应 用 程序 .除了 测试 工作 以 外 ， 
这 些 工 具 还 可 以 帮助 开发 人 员 调 试 应 用 程序 。 

1. Android Debug Bridge 

Android Debug Bridge (ADB) 可 用 于 记录 日 志 、 内 存 检测 和 许多 其 他 用 途 。 可 以 查 
看 开发 人 员 网 站 上 的 应 用 系统 开发 包 (Application Development Kit，ADK) 提供 的 完整 
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的 功能 清单 。 图 9-4 中 所 展示 的 是 一 些 运行 当中 的 ADB 示例 。 


LM-SJN-80713218:platform-tools prarai$ ./adb Logcat 

TVAccountTypeManager( 313): Loaded meta-data for 1 account types, © accounts in 
275ms (wall) 25ms(cpu) 

ID/dalvikvm( 257): GC_CONCURRENT freed 216K, 4% free 9202K/9543K, paused Sms+21m 


s 

D/Launcher.Model( 168): Reload apps on config change. curr_mcc:310 prevmcc:0 
IE/WindowManager( 77): Window Session Crash 

IE/WindowManager( 77): java.lang.IllegalArgumentException: Requested window and 
roid.os.BinderProxy@415a3d80 does not exist 


IE/WindowManager( 77): at com.android,.serverv.wm,wWindowManagerService.wi 
IndowForClientLocked(WindowManagerService. java:7163) 

IlE/WindowManager( 77): at com.android,.server.wm.Session.setWallpaperPos 
ition(Session,. java:360) 

IE/WindowManager( 77): at android.view.IWindowSession$Stub.onTransact(I 
WindowSession. java:419) 

IE/WindowManager( 77): at com.android.server.wm,.Session.onTransact(Sess 
ion. java:111) 

|E/WindowManager( 77): at android.os.Binder.execTransact(Binder.java:33 
I8) 

|E/WindowManager( 77): at dalvik,.system.NativeStart, run(Native Method) 


ID/dalvikvm( 168): GC_CONCURRENT freed 337K, 4% free 9972K/10375K, paused 3ms+6m 
s 

I//system/bin/fsck_msdos( 31): Attempting to allocate 119 KB for FAT 
TVActivityThread( 348): pub com.android.calendar: com.android.providers.calenda 


图 9-4 

从 图 9-4 中 可 以 看 出 ， 在 这 个 例子 当中 使 用 了 adb logcat 命令 查看 日 志 。 

2. 设置 设备 

设置 高 级 设置 监控 Web 应 用 程序 ， 可 以 打开 某 些 高 级 特性 ， 这 些 高 级 特性 将 有 助 于 
在 渗透 测试 期 间 获得 更 多 的 数据 。 

图 9-5 中 显示 了 如 何 启用 JavaScript 和 插件 来 检查 信息 泄漏 。 

3. SQLite3 

使 用 SQLite3 实用 程序 ， 用 户 可 以 浏览 其 创建 的 数据 库 以 及 其 他 一 些 平 台 附 带 的 数 
据 库 。 

SQLite 实用 程序 允许 用 户 查询 数据 库 并 检查 数据 库 中 的 值 。 这 样 的 数据 库 查 询 和 检 
查 可 以 找 出 例如 明文 存储 PII 之 类 的 问题 。 


4. Dalvik 调试 监控 服务 


Dalvik 调试 监控 服务 (Dalvik Debug Monitor Service，DDMS) 是 Android 框架 提供 
的 另 一 个 重要 的 工具 。DDMS 提供 端口 转发 、 屏 幕 截图 、 线 程 和 堆 信息 、logcat 进程 、 无 
线 状态 信息 、 来 电 和 短信 模拟 、 定 位 数据 模拟 等 功能 。 图 9-6 显示 了 DDMS 的 窗口 ， 在 
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Android 开发 者 网 站 上 可 以 查看 详细 功能 。 


区 Advanced 


Set search engine 


Open in background 


Enable JavaScript 


Enable plug-ins 


PAGE CONTENT 


Default zoom 


Open pages in overview 


图 9-5 


[TST3I Dalvik Debug Monitor 


Info Thre... VM EIEN sy; Netw Em 


Name 


test [emul Onlin test [4.0.¢ 
Filter Inc. trace 


Saved Filters verbose ” ;| 辐 因 同业 
All messages (no 

Le Time 

A 06-06 

A 06-06 


A 96-06 2 
open failed: ENOENT (1 


图 9-6 


有 一 些 其 他 第 三 方 工具 如 Intent Sniffer 和 Manifest Explorer 等 ， 都 是 由 iSecPartners 
(https://www.isecpartners.com) 所 开发 。 其 他 Linux 工具 ， 如 strace 和 procrank 也 可 以 使 
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用 。 还 可 以 使 用 即将 要 讨论 的 BusyBox。 


9.4.3 BusyBox 


BusyBox 被 称 为 “嵌入 式 Linux 系统 的 瑞士 军刀 ”， 它 提供 了 一 些 UNIX 工具 ， 如 
Vi、whoami、watchdog 等 ， 这 些 工具 可 以 在 非 root 环境 下 进行 测试 。 在 Android 上 安装 
BusyBox 非常 简单 ， 从 www.busybox.net 下 载 它 即 可 。 

如 图 9-7 所 示 ，BusyBox 可 以 很 容易 地 推送 和 安装 。 一 旦 安装 完毕 ， 这 些 Linux 命令 
就 可 以 在 其 中 很 容易 地 执行 。 


LM-SJN-80713218:platform-tools prarai$ ./adb shell 
# mkdir /data/busybox 

# exit 

LM-SJN-80713218:platform-tools prarai$ ./adb push ~/Downloads/busybox /data/busy 
box 

2742 KB/s (1096224 bytes in 0.398s) 
LM-SJN-80713218:platform-tools prarai$ ./adb shel\l 
# cd /data/busybox 

#1s 

busybox 

# chmod 777 busybox 

# 。/busybox --install ./ 

# ./vi hello.txt 


9.4.4 ” 反 编 译 的 APK 


反 编译 一 个 APK 并 阅读 其 内 容 相 对 比较 容易 。 在 这 里 做 这 个 练习 有 助 于 了 解 黑客 如 
何 去 对 付 APK 文件 。 

APK 文件 只 是 一 个 ZIP 文件 ， 将 APK 文件 重 命名 为 一 个 ZIP 文件 ， 可 以 用 任何 ZIP 
文件 浏览 器 打开 它 。 这 些 工具 都 可 以 在 /data/app 目录 中 得 到 。 也 可 以 使 用 adb pull 命令 把 
它 放 到 测试 环境 中 ， 在 那里 可 以 看 到 清单 文件 、 资 源 、 资 产 和 其 他 一 些 相 关内 容 ， 如 图 9-8 
所 示 。 


上 


LM-SJN-00713218:platform-tools prarai$ ./adb pull /data/app/ApiDemos.apk 
3128 KB/s (2720164 bytes in 0.851s) 
LM-SJN-80713218:platform-tools prarai$ 目 


图 9-8 


接 下 来 , 使 用 Android 提供 的 dexdump 工具 ，/data/dalvik-cache 目录 下 的 类 就 可 以 被 
提取 出 来 ， 如 图 9-9 所 示 。 
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=SjJN=| :platform-tools prarais ./adb shelt 

# cd /data/dalvik-cache 

# ls 

dataeappecom.exampLe.exampLel-1.apkectasses.dex 
dataeappecom.exampLe.exampLe2-2.apkectLasses.dex 

data@app@com. mycompany.example-2.apk@classes. dex 

data@app@com. paypal.android. interactivedemo-1.apk@classes.dex 
dataéapp@com. paypal.android.pizza-2.apk@classes. dex 
data@app@com. paypal.android.simpledemo-2.apk@classes. dex 
data@app@com. paypal.example.android.ppaccess-1.apk@classes.dex 
data@app@com. paypal. paypahhere-2.apk@classes. dex 


图 9-9 


例如 ， 要 提取 data@app@com.example.examplel-1.apk@classes.dex 中 一 个 文件 名 为 
dump 的 文件 ， 可 以 使 用 如 下 命令 : 


Dexdump -d -f -h data@app@com.example.examplel-1.apk@classes .dex > dump 


图 9-10 是 dump 文件 收集 到 的 数据 的 屏幕 截图 。 


catches : (none) 
positions 8 
Qx0000 line=312 
locals : 
9x0000 -~ Ox0005 reg=]1 this Landroid/support/v4/view/ViewCompat$JbMriView 


0 -~ Ox0005 reg=2 view Landroid/view/View; 
: (in Landroid/support/v4/view/ViewCompat$JbMriViewCompatInp 


'setLabelFor' 
‘(Landroid/view/View; I)V' 
Qx0001 (PUBLIC) 


registers 
ins 
outs 
insns size : 4 16-bit code units 
catches : (none) 
positions : 
Qx0000 line=317 
9x9003 line=318 


4 reg=0 this Landroid/support/v4/view/ViewCompat$JbMriView 


4 reg=1 view Landroid/view/View; 
4 reg=2 id I 


source_file_idx : 1574 (ViewCompat.java) 


图 9-10 


这 个 dump 是 跳 转 语句 的 形式 ， 阅 读 起 来 相对 生 涩 一 些 。DEX 文件 反 编译 工具 如 
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baksmali 或 dedexer 可 以 增强 这 些 文件 的 可 读 性 。 
9.5 小 结 


安全 测试 是 一 个 相对 年 轻 的 领域 。 模 式 和 测试 策略 仍 在 不 断 进步 当中 ， 安 全 被 认为 
是 确定 应 用 程序 弱点 和 提高 应 用 程序 质量 的 一 个 重要 指标 。 这 一 章 将 前 面 所 有 章节 学 习 
到 的 内 容 放 到 一 起 ， 并 用 它们 来 定义 应 用 程序 的 测试 用 例 。 

本 章 从 测试 基础 概述 开始 ， 讨 论 了 在 测试 用 例 中 涉及 的 六 大 安全 支柱 。 一 些 讨 论 过 
的 测试 用 例 可 以 为 测试 应 用 程序 奠定 基础 。 最 后 以 讨论 用 于 安全 测试 的 资源 和 工具 结束 
这 一 章 。 

接 下 来 是 本 书 的 最 后 一 章 ,看 看 Android 世界 里 有 什么 狐 新 的 和 正在 发 生 的 东西 挑战 
安全 基础 。 
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请 注意 ! 本 章 内 容 不 但 妙趣 横生 , 并且 还 将 会 尝试 对 未 来 的 发 展 方向 进行 大 胆 的 预测 。 

移动 领域 是 一 个 相对 较 新 的 领域 。 它 尚 处 于 实验 阶段 ， 一 些 技 术 和 用 例 已 经 成 功 付 
诸 实现 了 ， 而 同时 另外 一 部 分 则 可 能 不 会 像 预期 那样 带 来 更 多 的 惊喜 。 本 章 着 眼 于 移动 
领域 的 一 些 新 技术 和 用 例 。 

本 章 当 中 的 每 节 都 将 会 讨论 一 些 移动 技术 或 用 例 的 实验 。 首 先 将 从 有 关 移 动 商务 的 
讨论 开始 ， 重 点 关注 使 用 移动 设备 进行 产品 发 据 、 支 付 以 及 销售 等 。 接 下 来 将 会 讨论 近 
场 感应 技术 ， 如 NFC、RFID 和 蓝牙 等 。 随 后 ， 将 会 讨论 移动 在 卫生 保健 和 身份 验证 的 使 
用 。 最 后 一 部 分 将 会 从 安全 的 角度 来 讨论 硬件 的 最 新 进展 。 


10.1 移动 商务 


消费 者 行为 正在 改变 着 商务 行为 。 如 今 商务 不 仅仅 是 类 似 这 样 的 一 个 简单 的 动作 : 
去 一 个 批发 商 或 商店 那里 ， 选择 一 个 产品 并 支付 它 。 如 图 10-1 所 示 ， 随 着 新 技术 的 出 现 ， 
移动 商务 将 会 涵盖 通过 使 用 地 理 围栏 (geo-fencing) 的 产品 发 气 、 店内 调查 以 及 在 线 调 查 、 
采用 自 扫 描 和 自动 检测 的 支付 、 与 朋友 分 享 购买 的 东西 并 随后 进行 账户 的 管理 等 多 方面 。 
甚至 还 能 从 中 发 现在 线 商务 与 离线 商务 之 间 的 一 个 模糊 界限 。 

在 接 下 来 的 几 个 小 节 中 ， 将 会 从 安全 的 角度 来 讨论 不 同 的 商务 组 件 。 


10.1.1 使 用 移动 设备 进行 产品 发 掘 


产品 发 掘 即 寻找 某 种 产品 的 过 程 。 商 家 使 用 不 同 的 机 制 把 客户 带 到 他 们 的 零售 店 或 
鼓励 客户 在 线 购买 。 产 品 发 掘 也 包括 购物 清单 、 购 物 比 较 以 及 促进 消费 者 购买 产品 的 产 
品 信息 等 功能 。 移 动 设备 在 这 种 情况 之 下 是 较为 理想 的 工具 ， 可 以 让 消费 者 实时 访问 产 
品 信息 并 检查 产品 的 可 用 性 。 

在 移动 领域 的 一 些 示例 应 用 程序 包括 条 形 码 扫描 、 基 于 位 置信 息 的 购物 、 精 准 广告 
投放 、 用 户 在 零售 店 获得 的 积分 和 返利 、 创 建 购物 清单 、 当 在 用 户 接近 包含 某 个 购物 清 
单项 的 商店 时 的 信息 提醒 以 及 在 电子 钱包 存储 优惠 卡 等 功能 。 
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Location-based services 
Promotion and Self-scanning and 
coupons 2 self-checkout 
Mobile Mobile shopping 
commerce < 了 lists 
Payments ~ Social commerce 
In-store Loyalty 
research 
图 10-1 


从 安全 的 角度 来 看 最 大 的 挑战 是 隐私 。 精 准 广告 投放 和 地 理 围 栏 技术 是 基于 用 户 数 
据 的 分 析 和 购物 模式 的 。 在 收集 用 户 数据 和 偏好 信息 ， 并 在 之 后 使 用 或 分 享 这 些 信息 时 ， 
应 用 程序 的 开发 人 员 应 当 要 了 解法 律 法 规 。 几 乎 在 所 有 情况 下 收集 信息 之 前 都 需要 征 得 
用 户 的 同意 ， 这 个 同意 声明 应 该 包括 收集 什么 样 的 信息 以 及 这 些 信 息 是 否 会 与 第 三 方 进 
行 分 享 。 当 添加 新 功能 ， 或 者 是 更 新 、 扩 展现 有 功 旬 g 时 要 注意 更 新 用 户 的 同意 声明 


10.1.2 ”移动 支付 


支付 是 移动 商务 最 大 的 组 成 部 分 。 在 任何 支付 的 用 例 当中 ， 都 包含 3 个 主要 的 实体 ， 
即 消费 者 ， 也 称 为 买方 ， 卖 方 或 商家 ; 能 提供 支付 的 基础 平台 。 
1. 配置 


消费 者 可 以 使 用 移动 设备 来 搜索 和 购买 一 个 产品 ， 商 家 也 可 以 使 用 移动 设备 来 拓展 
业务 ， 甚 至 是 消费 者 和 商家 均 可 以 使 用 移动 设备 。 理 想 情况 下 ， 前 述 的 所 有 3 个 实体 在 
交互 当中 都 是 相互 连接 的 ， 这 是 完全 连通 性 情况 下 迄今 为 止 最 安全 的 支付 渠道 。 用 户 从 
eBay 的 移动 网 站 购买 某 个 产品 就 是 完全 连通 性 的 一 个 例子 ， 如 图 10-2 所 示 。 
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Consumers €<——> Merchants 


Full connectivity 


图 10-2 


不 过 ， 在 某 些 情况 下 ， 这 三 者 之 间 的 连接 可 能 会 断 开 。 其 中 之 一 情况 就 是 ， 消 费 者 
和 商家 都 分 别 连接 到 基础 平台 但 彼此 并 不 连接 ， 这 就 是 以 基础 平台 为 中 心 的 连通 性 。 例 
如 地 理 围栏 技术 ， 当 用 户 接近 某 家 店铺 时 会 得 到 该 商店 的 优惠 券 ， 在 这 种 情况 下 ， 商 家 
和 用 户 通过 基础 平台 《第 三 方 或 承运 人 ) 进行 会 话 ， 但 二 者 之 间 并 不 互相 进行 直接 会 话 。 
又 如 ， 当 用 户 通过 销售 终端 利用 某 种 装置 结账 时 ， 用 户 使 用 的 装置 将 作为 身份 验证 机 制 ， 
但 该 装置 可 能 不 会 与 基础 平台 层 连接 ， 这 是 以 商家 为 中 心 的 连通 性 ， 商 家 在 此 则 连接 了 
消费 者 和 基础 平台 层 ， 但 消费 者 却 没 有 和 基础 平台 层 连 接 。 此 外 ， 还 有 一 种 情况 : 一 个 
消费 者 同时 和 基础 平台 层 和 商家 会 话 ， 但 此 时 商家 与 基础 平台 层 是 断 开 连接 的 。 例 如 ， 
当 一 个 用 户 从 自动 售 货 机 当中 购买 苏打 饮料 时 ， 自 动 售 货机 可 能 会 在 某 个 特定 时 间 间 隔 
与 后 端 同步 ， 而 在 其 他 时 候 会 断 开 连接 。 图 10-3 说 明了 这 其 中 的 部 分 连通 性 配置 。 
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图 10-3 

部 分 连通 性 当中 的 基本 安全 挑战 是 端 到 端的 安全 。 由 于 在 任意 时 刻 上 这 3 个 连接 当 

中 的 两 个 ,无 论 是 客户 端 或 服务 器 端的 历史 状态 都 是 很 难 检测 到 的 ,随后 会 在 消费 者 一 一 商 
户 身份 验证 、 通 信 认 证 和 隐私 中 出 现 某 些 问 题 ， 如 图 10-4 所 示 。 
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图 10-4 


另外 ， 还 会 有 断 开 连接 的 情况 。 此 时 ， 商 户 和 消费 者 之 间 会 相互 会 话 ， 但 同时 均 不 
与 基础 平台 层 进行 会 话 。 在 这 种 情况 下 维护 设备 的 完整 性 就 成 为 了 一 种 挑战 。 例 如 ， 一 
个 消费 者 试图 在 销售 终端 使 用 优惠 券 。 

消费 者 可 能 会 继续 多 次 使 用 优惠 券 ，POS (Point of Sale) 终端 则 因为 不 能 同步 到 服 
务 器 更 新 优惠 券 的 使 用 状态 而 无 法 检测 到 欺诈 行为 。 类 似 地 ， 客 户 端 证 书 可 能 过 期 或 被 
撤销 ， 但 商户 的 设备 却 没 有 意识 到 这 一 点 。 如 果 应 用 程序 在 这 种 情况 下 开始 工作 ， 在 离 
线 状态 下 的 可 用 功能 就 十 分 有 限 。 涉 及 PII 或 者 资金 的 问题 时 ， 最 好 还 是 要 保持 完整 连通 
性 或 者 是 至 少 能 够 保证 部 分 连通 性 。 

从 应 用 程序 的 角度 来 看 ， 开 发 人 员 应 该 意识 到 所 开发 用 例 的 工作 原理 。 如 果 应 用 程 
序 可 以 使 用 部 分 连通 性 或 着 干脆 不 使 用 连通 性 ， 那 么 就 需要 采取 额外 的 安全 措施 来 处 理 
支付 当中 的 问题 。 

2. PCI 标 准 


支付 卡 行业 (Payment Card Industry，PCI) 是 一 个 独立 的 组 织 ， 致 力 于 创建 支付 用 例 
过 程 当中 的 安全 意识 。 该 组 织 开 发 了 一 套 通用 的 支付 标准 ， 以 确保 用 户 安 全 不 会 受到 损 
害 。PCI 的 个 人 识别 密码 交易 安全 (PIN Transaction Security，PTS ) 是 用 于 接收 支付 的 附 
加 设备 ; PCI 的 点 对 点 加 密 (Point to Point Encryption，P2PE) 是 基于 硬件 的 安全 ; 而 PCI 
的 数据 安全 标准 (Data Security Standard，DSS) 则 针对 的 是 安全 管理 、 政 策 、 程 序 、 网 
络 体系 结构 、 软 件 设 计 以 及 其 他 重要 的 保护 措施 。 其 最 新 版 本 是 2.0， 帮 助 组 织 有 效 地 保 
护 用户 数 据 。 它 有 6 个 核心 目标 ， 这 些 核心 目标 被 实现 为 12 个 核心 的 需求 ， 如 表 10-1 
所 示 。 

作为 负责 处 理 支付 行为 的 应 用 程序 开发 人 员 来 说 ， 要 特别 注意 DSS 的 使 用 。 对 支付 
行为 的 处 理 往往 都 是 比较 棘手 的 ,让 它们 以 一 种 安全 的 方式 正确 支付 本 身 就 是 一 个 挑战 。 
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所 以 ， 开 发 人 员 可 能 希望 使 用 已 经 存在 的 支付 提供 商 ， 例 如 PayPal 等 。 关 于 PCI 的 更 多 
详细 内 容 可 以 浏览 pcisecuritystandards.org 站 点 。 


表 10-1 
目 标 需求 
2 安装 并 维护 防火 墙 
A 不 要 使 用 提供 商 所 提供 的 默认 系统 密码 及 其 他 安全 参数 
保护 已 存储 的 持 卡 人 数据 
寺 信息 
dd 在 开放 的 、 公 共 网 络 当 中 加 密 传送 持 卡 人 数据 
通常 会 被 恶意 系统 当中 使 用 并 
维护 漏洞 管理 程序 在 通常 会 被 恶意 软件 影响 的 所 有 系统 当中 使 用 并 定期 更 新 反 病 毒 软 件 


实现 强 访问 控制 措施 


定期 监视 并 测试 网 络 
维护 信息 安全 策略 
3. 销售 终端 


开发 并 维护 安全 系统 和 应 用 程序 


通过 业务 按 需 知 密 (need-to-know) 方式 限制 对 持 卡 人 数据 的 访问 


为 每 个 具有 计算 机 访问 权限 的 人 分 配 唯 一 人 D 
限制 对 持 卡 人 数据 的 物理 访问 

跟踪 并 监视 对 网 络 资源 以 及 持 卡 人 数据 的 所 有 访问 
定期 跟踪 系统 及 过 程 

维护 解决 信息 安全 的 策略 


无 处 不 在 的 移动 设备 及 其 使 用 在 本 章 开始 所 讨论 的 近 场 感应 技术 ， 使 得 移动 销售 终 
端 (POS) 的 应 用 成 为 可 能 。 在 这 种 情况 之 下 ， 移动 设备 基本 上 充当 一 个 销售 终端 可 以 
管理 总 账 和 每 天 所 有 的 交易 。 诸 如 PayPal 和 Square 等 公司 所 提供 的 解决 方案 是 使 用 电话 
音频 插头 插入 某 种 卡片 的 刷卡 设备 ， 然 后 这 个 设备 读 取信 用 卡 的 详细 信息 ， 并 以 一 种 加 
密 形式 将 其 发 送 到 设备 。 其 他 的 解决 方案 还 包括 移动 销售 终端 。 

作为 应 用 程序 开发 人 员 ， 最 好 是 与 现 有 的 成 熟 解决 方案 进行 集成 ， 而 不 是 试图 自行 
去 解决 相关 问题 。 不 过 ， 在 选择 某 种 解决 方案 之 前 记得 要 考虑 一 些 问题 。 首 先 ， 需 要 确 
定 该 解决 方案 提供 商 是 否 采取 了 适当 的 安全 措施 来 加 密 数 据 。 正 如 在 前 面 的 内 容 当中 所 
讨论 的 那样 ， 请 注意 PCIDSS 和 PCI PTN 的 使 用 。 负 责 处 理 、 存 储 或 发 送信 用 卡号 码 的 
零售 商 必须 兼容 PCI DSS， 和 否则 会 有 丧失 信用 卡 支付 功能 的 风险 。 由 于 基础 平台 在 信用 
卡 之 间 以 及 在 不 同 的 国度 之 间 存 在 差异 ， 因 此 需要 使 用 不 同 的 技术 来 读 取信 用 卡 / 借 记 卡 
信息 。 例 如 ， 在 欧洲 ， 使 用 芯片 和 PIN 技术 是 常见 的 。 因 此 ，POS 支付 服务 提供 商 应 该 
在 各 种 场景 之 下 都 有 对 应 的 解决 方案 。 此 时 可 能 会 倾向 于 选择 某 个 供应 商 ， 用 以 管理 信 


卡 、 支 票 、 现 金 以 及 其 他 形式 的 支付 。 


。142。 Android 应 用 程序 安全 


图 10-5 显示 了 一 些 移动 销售 终端 解决 方案 的 例子 ， 其 中 显示 的 是 在 北美 的 PayPal 读 
卡 器 以 及 管理 所 有 支付 模式 的 应 用 。 


图 10-5 
图 10-6 是 PayPal 的 PIN 和 芯片 在 欧洲 通过 使 用 蓝牙 工作 的 解决 方案 。 


图 10-6 


图 10-7 是 移动 销售 终端 的 另 一 个 例子 。 最 常见 的 情况 是 将 支付 操作 提交 给 代理 机 构 
以 及 销售 代表 来 进行 处 理 。 
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图 10-7 
10.2 ” 近 场 感应 技术 


近 场 感应 技术 工作 半径 以 英寸 或 厘米 为 单位 ， 这 当中 包括 近 场 通信 (Near Field 
Communication，NFC) 、 蓝 牙 以 及 无 线 射 频 识别 (Radio Frequency Identification，RFID) 
等 技术 。 这 些 技术 的 大 部 分 已 经 实际 应 用 了 一 段 时 间 ， 但 无 处 不 在 的 移动 设备 给 予 这 些 
技术 大 量 新 型 使 用 场合 。 与 各 种 不 同 的 设备 、 标 识 和 身份 验证 配合 ， 这 些 技术 现在 被 应 
用 于 移动 支付 。 
蓝牙 技术 现在 是 大 多 数 手机 的 一 个 标准 , 这 是 一 项 非常 棒 的 与 设备 进行 配对 的 技术 。 
例如 即将 上 市 的 智能 眼镜 以 及 手表 装置 ， 该 技术 可 能 会 是 将 这 些 智 能 装置 连接 在 一 起 的 
主流 技术 。 

NFC 和 RFID 通过 产生 一 个 调节 在 某 一 特定 频率 的 电磁 场 来 实现 通信 。 由 于 这 些 标 
签 是 完全 可 读 的 ， 当 用 于 标签 或 身份 识别 机 制 时 ， 这 些 标签 会 造成 一 定 的 隐私 风险 。 作 
为 第 一 款 支 持 NFC 的 Android 手机 ，Nexus S 出 现在 2010 年 。 使 用 NFC 标签 时 Android 
SDK 通常 是 和 API 捆绑 在 一 起 的 。 

鉴于 这 些 技术 通常 的 操作 范围 都 很 小 ， 因 此 近 场 感应 技术 被 错误 地 认为 是 安全 的 。 
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然而 事实 却 并 非 如 此 。 通 过 快速 搜索 就 不 难 发 现 类 似 的 场景 随处 可 见 。 数 据 调制 、 数 据 
干扰 以 及 隐私 等 都 是 与 这 些 技 术 有 关 的 风险 。 


10.3 社交 网 络 


如 今 ， 一 系列 的 社交 网 络 应 用 存在 于 应 用 商店 当中 ， 并 且 每 天 都 有 新 的 用 例 被 测试 。 
这 些 应 用 让 朋友 、 熟 人 人、 邻居、 同事 ， 以 及 具有 特殊 爱好 的 人 人 分享、 合作， 并 在 本 质 上 
与 彼此 保持 联系 。 这 当中 的 一 些 成 功 的 例子 包括 Facebook、Twitter、Pinterest、Google 
Hangout、LinkedIn 等 。 

社交 网 络 以 网 络 图 形 的 形式 将 各 个 实体 连接 在 一 起 。 图 中 的 任何 不 良 节点 都 有 可 能 
会 成 为 垃圾 节点 或 感染 其 他 节点 。 如 图 10-8 所 示 , 节点 A 和 节点 B 之 间 的 信息 已 经 被 拦 
堆 和 修改 , 这 将 导致 所 有 与 节点 B 相连 的 节点 都 会 被 感染 。 这 样 的 行为 进一步 持续 下 去 ， 
就 不 难 想象 出 感染 将 会 通过 这 些 节点 很 快 蔓延 开 来 。 


Message altered 


图 10-8 


社交 网 络 应 用 最 大 的 挑战 是 隐私 问题 。 第 一 ， 用 户 必须 注意 他 们 与 联系 人 之 间 所 分 
享 的 内 容 。 因 为 在 大 多 数 情况 下 ， 用 户 都 会 使 用 他 们 的 真实 姓名 和 其 他 私人 信息 。 
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第 二 ， 用 户 需 要 注意 垃圾 邮件 和 恶意 软件 。 不 是 每 个 人 都 是 你 的 朋友 ， 并 不 是 所 有 
你 朋友 玩 的 游戏 都 是 善意 的 程序 ， 也 不 需要 单 击 所 有 所 关注 的 人 所 分 享 的 链接 。 

第 三 ， 应 用 程序 开发 人 员 必 须 注意 如 何 存储 和 处 理 用 户 的 敏感 信息 。 第 一 道 防线 是 
专门 询问 用 户 想 要 分 享 的 信息 以 及 分 享 的 对 象 。 用 户 同 意 声 明 当中 应 当 保 存 开发 商 的 责 
任 问 题 。 其 次 ， 必 须要 基于 用 户 偏好 定义 适当 的 访问 控制 。 再 次 ， 必 须 确 保 用 户 详细 信 
息 和 个 人 验证 信息 PI 都 能 安全 的 存储 或 传输 。 

社交 网 站 的 另 一 个 问题 是 身份 盗窃 。 对 于 恶意 用 户 来 说 ， 可 以 很 容易 地 创建 一 个 由 
户 并 使 用 别人 的 身份 。 


10.4 医疗 保健 


为 医疗 保健 开发 移动 应 用 程序 是 安全 敏感 用 例 的 又 一 个 例子 。 在 医疗 保健 用 例 中 ， 
开发 人 员 处 理 用 户 身份 识别 、 电 子 医疗 记录 、 实 验 室 检 测 以 及 处 方药 物 等 。 这 些 信 息 的 
修改 可 能 会 直接 影响 患者 的 健康 。 

移动 设备 是 个 人 用 品 并 可 以 随时 携带 ， 因 此 在 医疗 保健 方面 它 可 以 广泛 使 用 。 例 如 ， 
提醒 按时 吃 药 、 医 生出 诊 、 医 生 和 病人 双方 的 问 诊 记录 、 即 时 通知 化 验 结果 、 提 醒 处 方 
药 需 要 补充 等 方面 ， 都 是 重要 而 有 用 的 应 用 。 

移动 设备 也 可 以 在 紧急 情况 下 使 用 ， 其 他 人 可 以 借助 移动 设备 帮助 患者 解决 问题 。 
用 户 可 以 共享 实时 视频 并 通过 和 医生 的 实时 对 话 获得 帮助 。 

其 他 医疗 保健 方面 的 发 展 是 Android 平台 在 嵌入 式 设备 的 应 用 ， 如 扫描 仪 、 放 射 学 、 
X 光 机 、 机 器 人 手术 和 超声 波 设备 等 。 

精准 识别 对 象 在 医疗 保健 方面 是 至 关 重 要 的 。 同 时 还 需要 注意 这 个 重要 的 安全 规则 : 
信任 但 要 核查 。 所 以 ， 需 要 反复 确认 以 保证 所 识别 的 对 象 是 准确 的 。 个 人 验证 信息 的 访 
问 控 制 以 及 安全 存储 和 传输 同样 是 重要 的 。 
注意 医疗 健康 领域 内 的 标准 和 法 规 ， 如 健康 保险 流通 与 责任 法 案 (Health Insurance 
Portability and Accountability Act, HIPAA) 。 


10.5 身份 验证 


身份 验证 是 识别 一 个 实体 的 行为 。 在 本 章 的 例子 当中 ， 身 份 验证 通常 会 与 识别 一 个 
人 相关 联 。 目 前 的 身份 验证 方法 是 通过 使 用 用 户 名 和 密码 进行 验证 。 鉴 于 密码 会 比较 复 
杂 并 且 难 以 在 小 型 设备 输入 ， 所 以 可 以 使 用 电话 号 码 和 PIN 对 用 户 进行 身份 验证 。 
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10.5.1 ” 双 要 素 身份 验证 


如 今 最 常见 的 方法 是 双 要 素 身 份 验证 (two-factor authentication) 。 这 是 基于 识别 一 
个 人 的 唯一 性 理论 的 基础 之 上 的 。 通 常识 别 一 个 人 应 该 提供 以 下 3 个 标识 符 当中 的 任意 
两 个 。 
口 用 户 拥有 的 东西 : 这 包括 数字 签名 、 安 全 令 牌 、 手 机 、 标 签 等 。 
口 “用户 知道 的 东西 : 包括 密码 、 口 令 、PIN 码 或 者 回答 一 个 只 有 用 户 预先 知道 的 
问题 等 。 
口 一 些 用 户 才 有 的 东西 ， 如 视网膜 扫描 、 指 纹 和 面部 识别 等 。 

双 要 素 身 份 验证 的 一 个 例子 是 使 用 用 户 名 /密码 登录 ， 或 者 使 用 电话 /PIN 码 以 及 随后 
输入 一 个 以 手机 短信 形式 发 送 到 用 户 设备 的 验证 码 进行 登录 。 另 一 个 例子 是 输入 一 个 用 
户 名 和 密码 ， 然 后 回答 一 个 挑战 性 问题 ， 如 图 10-9 所 示 。 


ES 人 


User is logged in for User enters 
one Session Username/password 


User enters one SMS sent with one 
time password time password 


图 10-9 


在 Android 设备 当中 实施 双 要 素 身 份 验证 是 很 容易 的 。Google 使 用 手机 短信 或 语音 
电话 实现 双 要 素 身份 验证 。 


10.5.2 ”生物 识别 


生物 识别 技术 利用 用 户 特 有 的 生物 特征 对 其 进行 识别 ， 包 括 使 用 指纹 、 面 部 识别 、 
视网膜 扫描 和 虹膜 扫描 。 基 于 虹膜 扫描 ， 印 度 实现 了 世界 上 最 大 的 被 称 为 Aadhar 的 识别 
系统 。 通 过 使 用 他 们 的 人 口 统计 和 生物 识别 信息 ， 这 个 雄心 勃勃 的 项 目 将 给 印度 所 有 5 
岁 以 上 的 公民 提供 一 个 唯一 的 编号 。 有 关 这 方面 的 详细 信息 ， 请 参阅 印度 唯一 身份 识别 
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管理 局 (Unique Identification Authority of mdia，UIDAI) 的 官方 网 站 www.uidai.gov.in。 
有 一 些 Android 设备 上 的 应 用 程序 使 用 生物 识别 作为 密 钥 。 使 用 这 样 的 应 用 程序 首先 
要 考虑 的 是 确保 用 户 识别 特征 不 存储 在 设备 上 ; 第 二 ， 如 果 这 个 信息 是 存储 在 服务 器 上 ， 
它 是 怎样 传输 和 存储 的 ? 第 三 ， 如 何 访问 这 些 信 息 呢 ? 
提示 : 生物 识别 技术 和 双 要 素 身份 验证 不 一 样 。 对 于 后 者 ， 可 以 很 容易 地 改变 密码 或 更 
新 用 户 的 RSA 安 全 标识 令 牌 。 生 物 识 别 技术 是 针对 个 人 的 ， 对 个 人 信息 的 修改 会 
带 来 巨大 的 风险 
下 面 的 两 个 场景 当中 分 别 使 用 了 生物 识别 技术 。 在 第 一 种 情况 下 ， 用 户 通过 使 用 一 


些 生 物 属 性 进行 验证 ， 如 指纹 。 这 是 和 存储 在 设备 上 的 副本 进行 对 比 。 用 人 脸 解 锁 手 机 
就 是 一 个 验证 例子 ， 如 图 10-10 所 示 。 


[ 


/© > Feature Feature . < 


extraction matching Database 
Iris scan (1 record) (1 record) 


J 


Result? True: 
False 


图 10-10 


第 二 种 情况 是 身份 证 明 , 在 这 里 的 生物 识别 身份 是 对 数据 库 中 存储 的 身份 进行 匹配 。 
生物 识别 系统 在 印度 的 实施 就 是 这 样 一 个 例子 。 图 10-11 说 明了 这 个 过 程 。 


/© Feature Feature > 


extraction matching Database 
Iris scan (1 record) (n records) 


Result? Found: 
not found 


图 10-11 


10.6 硬件 的 进展 


移动 操作 系统 已 经 发 展 了 相当 长 的 一 段 时 间 了 。 最 开始 使 用 手机 时 ， 主 要 都 是 些 直 
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板 手机 ， 其 功能 多 用 于 打 电 话 ， 此 外 还 有 一 些 基本 的 应 用 ， 例 如 计算 器 以 及 用 于 显示 时 
间 和 日 期 的 小 部 件 。 为 了 支持 移动 的 先进 应 用 ， 安 全 必须 立足 于 硬件 本 身 。 在 下 面 的 章 
节 当 中 将 会 讨论 这 方面 所 取得 的 进展 。 


10.6.1 硬件 安全 模块 


硬件 安全 模块 ， 也 称 为 安全 元 素 ， 是 一 块 嵌 入 到 硬件 用 于 存储 加 密 密 钥 和 其 他 敏感 
信息 的 硬件 〈 芯 片 ) 。 这 个 想法 是 为 存储 PII 提供 一 个 独立 的 、 防 算 改 的 环境 。 在 某 些 情 
况 下 ， 一 个 安全 元 素 可 以 和 设备 一 样 随身 携带 。 安 全 元 素 的 例子 包括 一 个 由 移动 网 络 运 
营 商 控制 的 增强 版 SIM 卡 、 和 嵌入 设备 的 芯片 ， 或 者 是 用 特殊 电路 内 置 的 微型 SD 卡 。 许 
多 Android 手机 都 配备 了 一 个 安全 元 素 。 

在 某 些 情况 下 ， 安 全 模块 还 可 以 充当 安全 加 速 器 。 除 了 存储 密 钥 以 外 ， 这 些 加 速 器 
也 会 在 硬件 里 面 执行 加 密 功 能 ， 如 加 密 、 解 密 、 散 列 和 随机 数 生成 ， 这 样 可 以 大 大 减轻 
CPU 的 负担 并 提高 性 能 。 

开发 人 员 要 使 用 一 个 安全 元 素 ， 必 须 通 过 API 公开 。Android 的 安全 元 素 评估 工具 
(Secure Element Evaluation Kit，SEEK) 是 朝 着 这 个 方向 所 迈 出 的 坚实 一 步 。 基 于 开放 
的 移动 API， 这 组 API 被 称 为 智能 卡 API， 和 旨 在 为 应 用 程序 提供 一 种 与 嵌入 式 安全 元 素 、 
SIM 卡 或 其 他 设备 加 密 模块 通信 的 机 制 。 这 可 以 在 code.google.com/p/seek-for-android 查 
看 更 多 的 详细 信息 。 图 10-12 来 源 于 code.google.com， 非 常 有 效 地 演示 了 SEEK 的 概念 。 
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图 10-12 
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基于 Android 的 许可 机 制 ,智能 卡 API 需 要 一 个 名 为 android.permission.SMARTCARD 
的 特别 许可 ， 以 允许 应 用 程序 访问 这 些 API。 智 能 卡 API 的 远程 处 理 使 用 智能 卡 的 唯一 
UID/GID 进行 注册 。 需 要 注意 的 是 ， 该 安全 机 制 不 会 运行 在 一 个 经 过 root 的 设备 之 上 。 
GoogleOtp Authenticator 在 智能 卡 API 上 使 用 双 因素 认证 。 


10.6.2 ”信任 域 


由 ARM 公司 所 开发 的 ， 目 前 由 GlobalPlatforms 所 维护 的 信任 域 (TrustZone) 技术 
是 设备 完整 的 安全 解决 方案 。 信 任 域 基于 片上 系统 (systems-on-chip) ， 为 诸如 支付 、 内 
容 流 和 管理 、 访 问 控制 以 及 其 他 PI 等 应 用 程序 提供 了 一 个 可 信任 的 执行 环境 。 信 任 域 的 
功能 是 可 以 让 每 个 应 用 程序 都 运行 在 完全 彼此 隔离 的 自 包含 环境 中 。 这 可 以 在 
www.arm.com/products/processors/technologies/trustzone.php 上 查看 更 详细 的 信息 。 图 10-13 
来 自 于 该 网 站 ,演示 了 这 种 技术 的 高 级 视图 。 诸 如 来 自 Texas instruments 以 及 Nvidia Tegra 
的 许多 移动 处 理 器 的 核心 都 是 建立 在 信任 域 技术 之 上 。 


图 10-13 


如 图 10-14 所 示 , 这 当中 使 用 了 虚拟 化 技术 , 将 处 理 器 分 为 两 个 虚拟 区 : 一 个 用 于 正 
常 模式 ， 男 一 个 用 于 安全 模式 (执行 敏感 的 过 程 》。 通 过 使 用 一 个 监控 器 模式 ， 过 程 转 
换 将 从 一 个 模式 到 另 一 个 模式 。 所 有 敏感 的 代码 、 数 据 和 资源 ， 都 在 远离 设备 的 正常 操 
作 环 境 、 软 件 和 内 存 上 处 理 。 这 种 隔离 是 执行 SoC 架构 的 ， 所 以 可 以 很 好 地 防止 软件 和 
探测 攻击 。 


10.6.3 ”移动 信任 模块 


2010 年 ， 可 信 计 算 组 织 〈Trusted Computing Group，TCG) 发 布 了 1.0 版 本 的 移动 可 
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信 模 块 (Mobile Trusted Module，MTM) 。TCG 是 一 个 开发 标准 和 规范 的 国际 标准 组 织 。 
MTM 的 目标 是 适应 现 有 的 用 于 移动 和 嵌入 的 TCG 技术。 

可 信 计 算 基于 硬件 根源 可 靠 性 (root of trust) ， 从 而 被 称 为 可 信 平 台 模 块 (Trmsted 
Platform Module，TPM) 。 它 检测 恶意 软件 和 检查 系统 的 完整 性 。 这 种 功能 被 称 为 是 可 
信 平 台 模块 。TPM 的 安全 从 启动 过 程 开 始 。 硬 件 根源 可 靠 性 〈 通 常 是 一 个 密 钥 ) 被 内 置 
在 处 理 器 本 身 当 中 。 启 动 安全 就 是 建立 在 这 种 根源 可 靠 性 之 上 。 启 动 软件 的 不 同 阶段 都 
被 用 密码 进行 验证 ， 以 确保 在 设备 当中 执行 的 是 唯一 正确 的 、 授 权 的 软件 。 

要 查看 更 多 详细 信息 ， 可 以 查阅 网 站 www.trustedcomputinggroup.org， 在 该 网 站 当中 
将 会 有 更 多 和 内 核 开 发 相关 的 东西 ， 这 对 任何 人 来 说 都 是 一 次 非常 有 趣 的 阅读 经 历 。 


10.7 应 用 程序 架构 


目前 编写 应 用 程序 有 3 种 方法 : 原生 、 移 动 Web 以 及 混合 方式 。 

原生 应 用 程序 特定 于 某 个 操作 系统 平台 ， 用 操作 系统 平台 原生 语言 进行 编写 。 这 些 
应 用 程序 使 用 系统 远程 工具 和 操作 系统 制造 商 提供 的 SDK， 具 有 更 好 的 性 能 ， 可 以 为 安 
全 数据 存储 使 用 系统 原生 功能 及 API。 图 10-14 展示 了 原生 应 用 程序 和 混合 应 用 程序 的 工 
作 原 理 。 


Download app App store A 


App store B 


App store C 
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download app. 


图 10-14 
移动 Web 应 用 程序 利用 Web 技术 编写 , 如 HIML5、CSS、PHP、JavaScript 和 ASPNET 


等 。 这 些 应 用 程序 通常 都 是 跨 平 台 的 ， 而 且 一 旦 被 编写 它们 可 以 在 任何 具有 浏览 器 的 平 
台 上 运行 。 这 样 实施 的 优点 在 于 便于 集中 更 新 ， 但 同时 也 继承 了 所 有 浏览 器 的 漏洞 。 当 
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编写 一 个 移动 Web 应 用 程序 时 要 注意 浏览 器 的 使 用 ， 对 每 个 人 来 说 都 很 容易 看 到 浏览 
代码 。 同 时 , 当 设 备 上 不 存在 应 用 程序 并 且 只 可 以 通过 使 用 一 个 有 效 的 URL 进行 访问 时 
URL 的 使 用 在 这 些 应 用 程序 里 是 存在 风险 的 。 图 10-15 说 明了 移动 Web 应 用 程序 的 工作 


原理 。 
Pa 
司 HTTP request I 
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Web server 


All device use 
the same method 


图 10-15 


第 三 种 编写 应 用 程序 的 方法 是 开发 一 个 混合 应 用 程序 。 这 个 应 用 程序 结合 了 原生 和 
移动 Web 两 者 的 优点 。 使 用 网 页 技术 ， 应 用 程序 只 需 写 一 次 ， 用 户 需要 安装 的 应 用 程序 
就 像 一 个 原生 应 用 程序 ， 它 通过 使 用 设备 的 浏览 器 引擎 而 运行 在 本 地 浏览 器 中 。 通 过 这 
种 方式 ， 应 用 程序 可 以 在 离线 模式 下 运行 、 可 以 访问 设备 的 功能 、 开 发 人 员 可 以 针对 多 
个 平台 等 。 

决定 选择 使 用 哪个 架构 取决 于 所 使 用 的 用 例 。 原 生 应 用 程序 比 混合 或 移动 Web 更 安 
全 ， 在 速度 和 用 户 体验 方面 也 表现 得 更 好 。 反 过 来 看 ， 混 合 和 移动 Web 应 用 程序 可 以 更 
容易 并 且 更 快 地 通过 使 用 Web 技术 和 跨 平 台 开发 。 


10:8 小 结 


本 章 关 注 即 将 来 临 的 一 些 应 用 场景 和 技术 以 及 它们 通常 是 如 何 关联 移动 安全 的 。 在 
其 中 讨论 了 移动 商务 、 近 场 感应 技术 、 移 动 医疗 保健 安全 和 身份 验证 ， 最 后 以 硬件 方面 
的 安全 增强 作为 本 章 的 结尾 。 

到 此 为 止 ， 已 经 完成 了 本 书 的 学 习 ， 和 希望 读者 从 中 了 解 新 知识 ， 也 希望 读者 像 作者 
享受 撰写 过 程 一 般 ， 愉 悦 地 享受 阅读 之 旅 。 


